Curso Oficial Do Mikrotik

MikrotikBrasil
Consultoria e Treinamentos
Integrao de Equipamentos
Um pouco sobre a MD Brasil Telecom

(MikrotikBrasil)
No mercado de Internet discada desde 1995
Primeiros links Wireless de 2mbps entre 4 cidades do Interior Paulista em 2000
Ministra treinamentos em Wireless desde 2002
Presta servios de consultoria em Wireless para provedores e empresas
Representante da Mikrotik Latvia desde 2006 representando os sistemas
Distribuidor Oficial de Hardware Mikrotik desde janeiro de 2007
Training Partner Mikrotik desde julho de 2007

2
Mikrotik RouterOS
uma pequena histria de grande sucesso
1993: Primeira rede Wavelan em 915MHz em Riga, (Latvia)

1995: Solues para WISPs em vrios pases
1996: Publicado na Internet o paper Wireless Internet Access in Latvia
1996: Incorporada e Fundada a empresa MikroTikls
2002: Desenvolvimento de Hardware prprio
2007: 60 funcionrios
Atualmente:
O RouterOS da Mikrotik tende a ser um padro de fato para provedores de servio internet
podendo ser inclusive um forte concorrente com gigantes como a Cisco e outros.
3
O que o Mikrotik RouterOS ?

Um poderoso sistema operacional carrier class que pode ser instalado em um PC
comum ou placa SBC (Single Board Computer), podendo desempenhar as funes de:
Roteador Dedicado
Bridge
Firewall
Controlador de Banda e QoS
Ponto de Acesso Wireless modo 802.11 e proprietrio
Concentrador PPPoE, PPtP, IPSeC, L2TP, etc
Roteador de Borda
Servidor Dial-in e Dial-out
Hotspot e gerenciador de usurios
WEB Proxy
Recursos de Bonding, VRRP, etc, etc.
4
Instalao do Mikrotik
O Mikrotik RouterOS pode ser instalado utilizando:

CD Iso bootvel ( gravado como imagem )
Via rede com o utilitrio Netinstall
Obtendo o RouterOS
http://www.mikrotik.com/download.html
Imagem ISO para instalao com CD

Changelog Modificaes verses
Instalando por CD
Uma vz baixado o pacote e descompactado, precisamos gerar o CD de boot
No exemplo abaixo usamos o Nero para gravar o CD
Instalando por CD
Seleciona-se a imagem .iso descompacatada e clica-se em Burn
Instalando por CD
Prepare o PC para bootar pelo CD. Aps o boot ser apresentada a seguinte tela:
Pacotes do RouterOS - significado

System:
Pacote principal com servios bsicos e drivers. A rigor o nico

que necessramente tem de ser instalado.
ppp:
Suporte aos servios PPP como PPPoE, L2TP, PPtP, etc
DHCP:
DHCP cliente e DHCP servidor
advanced-tools:
ferramentas de diagnstico, netwatch e outros utilitrios
arlan:
Suporte a um tipo de placa Aironet antiga arlan
calea:
Pacote para vigilancia de conexes (exigencia legal nos EUA)
gps:
Suporte a GPS (tempo e posio)
hotspot:
Suporte a hotspots
ISDN:
Suporte a conexes ISDN
lcd:
Suporte a display de cristal lquido
ntp:
Servidor e cliente de NTP (relgio)

10
Pacotes do RouterOS - significado

radiolan:
suporte a placa Radiolan
routerboard:
utilitrios para routerboards
routing:
suporte a roteamento dinamico protocolos RIP, OSPF e BGP
rstp-bridge-test
protocolo rstp
security:
suporte a ssh, Ipsec e conexo segura do winbox
synchronous:
suporte a placas sncronas Moxa, Cyclades PC300 e outras
telephony:
pacote de suporte a telefonia protocolo h.323
ups:
suporte a no-breaks APC
user-manager:
servio de autenticao user-manager
web-proxy:
Servio de Web-Proxy
wireless:
Suporte a placas PrismII e Atheros
wireless-legacy:
Suporte a placas PrismII, Atheros e Aironet com algumas features

11
inabilitadas
Instalando por CD
Pode-se seleccionar os pacotes desejados pressionando-se a barra de espaos
ou a para todos. Em seguida i ir instalar os pacotes selecionados.
Caso haja configuraes pode-se mante-las selecionando-se y
12
Instalao com Netinstall

O Netinstall tranforma uma estao de trabalho
Windows em um instalador.
Obtem-se o programa no link
www.mikrotik.com/download.html
Pode-se instalar em um um PC que boota via
rede (configurar na BIOS)
Pode-se instalar em uma Routerboard,
configurando-a para bootar via rede
O Netinstall interessante principalmente para
reinstalar em routerboards quando necessrio por
danos a instalao inicial e quando se perde a
senha do equipamento.
13

Para se instalar em uma Routerboard, inicialmente
temos que entrar via serial, com um cabo null
modem e os parametros:
velocidade: 115.200 bps
bits de dados: 8
bits de parada: 1
Controle de fluxo: hardware
Entra-se na Routerboard e
seleciona-se
o - boot device
e depois:
e - Etherboot
14

Atribuir um IP para o Net
Booting na mesma faixa da
placa de rede da mquina.
Colocar os pacotes a
serem instalados na
mquina.
Bootar e selecionar os
pacotes a serem instalados.
15
Acesso ao Mikrotik
O processo de instalao no configura um IP no Mikrotik e o primeiro acesso pode

ser feito das seguintes maneiras:
Direto na console (no caso de PCs)
Via Terminal (115200/8/N/1 para routerboards e 9600/8/N/1 para PCs)
Via Telnet de MAC, atravs de outro Mikrotik ou de sistema que suporte telnet por
MAC e que esteja no mesmo barramento fsico de rede.
Via Winbox
16
Console do Mikrotik
Na console do Mikrotik tem-se acesso a todas as configuraes por um sistema de
diretrios hierrquicos pelos quais se pode navegar digitando o caminho.
Exemplo:
[admin@MikroTik] > ip
[admin@MikroTik] ip> address
Pode-se voltar um nvel de diretrio digitando-se ..
[admin@MikroTik] ip address> ..
[admin@MikroTik] ip>
Pode-se ir direto ao diretrio raiz, digitando-se /
[admin@MikroTik] ip address> /
[admin@MikroTik] >
17
Console do Mikrotik
Ajuda
? Mostra um help para o diretrio em que se esteja [Mikrotik] > ?
? Aps um comando incompleto mostra as opes disponveis para esse
comando - [Mikrotik] > interface ?
Tecla TAB
Comandos no precisam ser totalmente digitados, podendo ser completados
com a tecla TAB
Havendo mais de uma opo para o j digitado, pressionar TAB 2 vezes
mostra todas as opes disponveis.
18
Console do Mikrotik
Print: mostra informaes de configurao
[admin@MikroTik] interface ethernet> print
Flags: X - disabled, R - running
# NAME
MTU MAC-ADDRESS
ARP
0 R ether1
1500 00:03:FF:9F:5F:FD enabled
Pode ser usado com diversos argumentos como print status, print detail e print
interval. Exemplo:
[admin@MikroTik] interface ethernet> print detail
Flags: X - disabled, R - running
0 R name="ether1" mtu=1500 mac-address=00:03:FF:9F:5F:FD arp=enabled
disable-running-check=yes auto-negotiation=yes full-duplex=yes cablesettings=default speed=100Mbps
19
Console do Mikrotik
Comando Monitor
Mostra continuamente vrias informaes de interfaces
[admin@Escritorio] > interface ethernet monitor ether1
status: link-ok
auto-negotiation: done
rate: 100Mbps
full-duplex: yes
default-cable-setting: standard
20
Console do Mikrotik
Comandos para manipular regras
add, set, remove adiciona, muda ou remove regras
disabled desabilita a regra sem deletar
move move algumas regras cuja ordem influencie( firewall por
exemplo )
Comando export
exporta todas as configuraes do diretrio corrente acima ( se
estiver em /, do roteador todo)
pode ser copiado com o boto direito do mouse e colado em editor de
textos
pode ser exportado para um arquivo com export file=nome do arquivo
Comando import
importa um arquivo de configuraes criado pelo comando export.
21
Winbox
Obtem-se o Winbox na URL abaixo
ou direto em um mikrotik
www.mikrotik.com/download.html
Interface Grfica para administrao do Mikrotik

Funciona em Windows e Linux ( Wine )
Utiliza porta TCP 8291
Se escolhido Secure mode a comunicao criptografada
Quase todas as funcionalidades do terminal podem ser configuradas via WINBOX
22
Winbox
Com o Winbox possvel acessar um Mikrotik sem IP, atravs do seu MAC. Para
tanto popnha os dois no mesmo barramento de rede e clique nas reticncias
Clique para encontrar o Mikrotik
O acesso pelo MAC pode ser feito para fazer as configuraes iniciais, como dar um
endereo IP para o Mikrotik.
Aps ter configurado um IP e uma mscara de rede. aconselha-se preferencialmente
o acesso via IP que mais estvel.
23
Configurao no modo seguro

Pressionando-se control+X em um terminal pode-se operar o Mikrotik com a
possibilidade de desfazer as configuracoes sem que elas sejam aplicadas.
Operando no modo seguro
24

Se outro usurio entra no modo seguro, quando j h um nesse modo, lhe
ser dada a seguinte mensagem:
[admin@MKBR100] >
Hijacking Safe Mode from someone unroll / release / dont take it [u/r/d]
u desfaz todas as configuraes anteriores feitas no modo seguro e pe
a presente sesso em modo seguro
d deixa tudo como est
r mantm as configuraes realizadas no modo seguro e pe a sesso
em modo seguro. O outro usurio recebe a mensagem:
[admin@MKBR100]
Safe mode released by another user
25

Todas as configuraes so desfeitas caso o modo seguro seja terminado
de forma anormal.
Control+X novamente ativa as configuraes
Control+D desfaz todas as configuraes realizadas no modo seguro.
Configuraes realizadas no modo seguro so marcadas com uma Flag F,
at que sejam aplicadas.
O histrico das alteraes pode ser visto (no s no modo seguro) em
/system history print
Importante: O nmero de registros de histrico limitado a 100. As
modificaes feitas no modo seguro que extrapolem esse limite no so
desfeitas nem por Control+D nem pelo trmino anormal do modo seguro.
26
Manuteno do Mikrotik
Atualizao
Backups
Acrscimo de funcionalidades
Detalhes do licenciamento
27
Atualizaes
As atualizaes podem ser
feitas com o conjunto de pacotes
combinados ou com os pacotes
separados disponveis no site da
Mikrotik.
Os arquivos tem a extenso
.npk e basta coloca-los no
diretrio raiz do Mikrotik e bootalo para subir a nova verso.
O upload pode ser feito por
FTP ou copiando e colando no
WInbox.
28
acrscimo de novas funcionalidades
Alguns pacotes no fazem parte
da distribuio normal mas podem
ser instalados posteriormente.
Exemplo o pacote User Manager..
Os arquivos tambm tem a
extenso .npk e basta coloca-los no
diretrio raiz do Mikrotik e boota-lo
para subir a nova verso.
O upload pode ser feito por FTP
ou copiando e colando no WInbox.
29
Manipulao de pacotes
Alguns pacotes podem no ter sido instalados no momento da instalao ou podem estar
desabilitados. Pacotes podem ser habilitados/desabilitados de acordo com as necessidades.
verifica-se e manipula-se o estado dos
pacotes em / system packages
Pacote desabilitado
Se o pacote no tiver sido instalado, para

faze-lo devemos encontrar o pacote de mesma
verso, fazer um upload para o Mikrotik que
este ser automaticamente instalado
30
Manipulao de pacotes
Existem os pacotes estveis e os pacotes test, que esto ainda sendo reescritos e
podem estar sujeitos a bugs e carencia de documentao.
Quando existem 2 iguais e um test deve-se escolher um deles para trabalhar.
web-proxy e
web-proxy-test
31
Backup
Para efetuar o Backup, basta ir em

Files e clicar em Backup copiando
o arquivo para um lugar seguro.
Para restaurar, basta colar onde se
quer restaurar e clicar na tecla
Restore
OBS: O Backup feito dessa forma ao ser restaurado em outro hardware ter problemas com
diferentes endereos MAC. Para backupear partes das configuraes use o comando export
32
Verso 2.9 ou verso 3.x ??

Atualmente estamos no final da srie 2.9.x e partindo para a v3, que est
em fase de release candidate
Diferenas bsicas das verses :
2.9.x
3.x
Linux Kernel 2.4.31

Linux Kernel 2.6.20
Compatibilidade de Hardware na v3:

Suporte a SMP (multiprocessamento)
Suporte a discos SATA
RAM mxima aumentada de 1 GB para 2 GB
Vrias interfaces de rede novas suportadas
Descontinuados alguns suportes e hardwares antigos
33
Licenciamento do Mikrotik
Detalhes de licenciamento
A chave gerada sobre um software-id fornecido pelo prprio sistema
Fica vinculada ao HD ou Flash
A licena pode ser colada na janela de terminal ou enviada por ftp
Esse HD / Flash pode ser montado em qualquer outro computador
aproveitando a licena
Importante: a formatao com ferramentas de terceiros faz perder a
licena instalada
34
Poltica de
Licenciamento
As Licenas nunca expiram
Podem ser ser atualizadas para
a ltima verso do prximo release.
ex: 2.9.x 3beta 3.x
Podem ser usadas vrias interfaces
Uma licena por mquina
35
Dvidas e esclarecimentos adicionais sobre

Instalao ?
Acesso ?
Manuteno ?
Licenciamento ?
36
Nivelamento de conceitos bsicos de Redes TCP/IP

e suas implementaes no Mikrotik
37
O Modelo OSI
(Open Systems Interconnection)
APLICAO
APRESENTAO
Camadas 5, 6 e 7 (sesso, apresentao e aplicao)
SESSO
TRANSPORTE
REDE
Camada 4 (garante o transporte dos dados TCP e UDP )

Camada 3 (faz endereamento lgico roteamento IP
ENLACE
Camada 2 (detecta/corrige erros, controla fluxo, end.. fsico)
FSICA
Camada 1 (conexes fsicas da rede, como cabos, wireless)

38
Camada I - Fsica
A camada fsica define as caractersticas tcnicas dos dispositivos eltricos .
que fazem parte da rede
nesse nvel que esto definidas as especificaes de cabeamento
estruturado, fibras ticas, etc. No caso de Wireless, na camada I que se
definem as modulaes assim como a frequencia e largura de banda das
portadoras
So especificaes de Camada I:
RS-232, V.35, V.34, Q.911, T1, E1, 10BASE-T,100BASE-TX , ISDN, SONET, DSL,
FHSS, DSSS, OFDM etc
39
Camada I - Fsica
Exemplo de configurao da camada

fsica:
Escolhe-se a banda de transmisso e
a forma com que o rdio ir se
comportar
40
Exemplo de configurao fsica

da Interface Wireless
No lado do AP
1 Configurar o AP, definindo banda, canal, modo de operao e
nome de rede
No lado dos alunos:
1 Configurar como station, com o mesmo nome de rede e
banda
2 Na aba Wireless, no campo Radio name, colocar o seu
nmero e nome, no seguinte padro:
XY-SeuNome
41
Camada II - Enlace
Camada responsvel pelo endereamento fsico, controle de acesso ao meio
e correo de erros da camada I
O endereamento fsico se faz pelos endereos MAC (Controle de acesso ao
meio) que so (ou deveriam ser) nicos no mundo e que so atribudos aos
dispositivos de rede
Bridges so exemplos de dispositivos que trabalham na camada II.
So especificaes de Camada II:
Ethernet, Token Ring, FDDI, PPP, HDLC, Q.921, Frame Relay, ATM
42
Camada II - Enlace
Exemplo de configurao de Camada II (Enlace)
No AP Central: criar uma Bridge entre as interfaces Wireless
43
Camada III - Rede

Responsvel pelo endereamento lgico dos pacotes
Transforma endereos lgicos em endereos fsicos de rede
Determina a rota que os pacotes iro seguir para atingir o destino baseado em fatores
tais como condies de trfego de rede e prioridades.
Define como os dispositivos de rede se descobrem e como os pacotes so roteados ao
destino final..
Esto na Camada III:
IP, ICMP, IPsec, ARP, RIP, OSPF, BGP
44
Protocolo IP
um protocolo cujas funes principais so:

endereamento
roteamento
As principais funes do protocolo IP so endereamento e roteamento pois este
fornece de uma maneira simples a possibilidade de identificar uma mquina na
rede (endereo IP) e uma maneira de encontrar um caminho entre a origem e o
destino (Roteamento).
45
Endereamento IP
O Protocolo TCP/IP utiliza 4 sequencias de 8 bits (octetos) para representao
dos endereos IP:
Exemplo :
11000000.10101000.000000001.000000001, em notao binria,
convertida para decimal fica:
11000000 2^7+2^6
= 128+64 = 192
10101000 2^7+2^5+2^3 = 128+32+8 = 168
00000001 2^0
=1
00000001 2^0
=1
192.168.1.1
46
Mscaras de rede
Computadores em uma rede TCP/IP fazem uso das mscaras de rede para separar
computadores em sub-redes. As mscaras de rede so tambem 4 octetos binrios
Como abaixo representado:
11111111.11111111.11111111.00000000
11111111 2^7 + 2^6 + 2^5 + 2^4 + 2^3 + 2^2 + 2^1 = 255
mscara equivalente em decimal:
255.255.255.0
47
Mscaras de rede
Alm da forma binria e decimal as mscaras de rede podem ser representadas pela
notao em bitmask (soma dos bits que compe a mscara);
Exemplos:
11111111.11111111.11111111.11111111
decimal : 255.255.255.255
bitmask: /32
11111111.11111111.11111111.11111100
decimal: 255.255.255.252
bitmask: /30
11111111.00000000.00000000.0000000
decimal: 255.0.0.0
bitmask: /8
48
Endereamento de rede
Para separar computadores em sub redes realizada uma multiplicao binria do
endereo IP com a mscara de rede, sendo ento calculado o endereo de rede para
aquele host.
Exemplo: 200.200.200.10 com mscara 255.255.255.192 (ou /26)
Decimal
1 octeto
2 octeto
3 octeto
4 octeto
IP
200.200.200.10
11001000
11001000
11001000
00001010
Mask
255.255.255.192
11111111
11111111
11111111
11000000
11001000
11001000
11001000
00000000
Multiplicao binria
Endereo de rede calculado 200.200.200.0

49
200.200.200.10/26 200.200.200.20/26
Decimal
1 octeto
2 octeto
3 octeto
4 octeto
IP
200.200.200.10
11001000
11001000
11001000
00001010
Mask
255.255.255.192
11111111
11111111
11111111
11000000
11001000
11001000
00001010
00000000
Decimal
1 octeto
2 octeto
3 octeto
4 octeto
IP
200.200.200.20
11001000
11001000
11001000
00010100
Mask
255.255.255.192
11111111
11111111
11111111
11000000
11001000
11001000
11001000
00000000
Multiplicao binria
Multiplicao binria
Resultados iguais Mesma Rede = 200.200.200.0
50
200.200.200.10/26 200.200.200.200/26
Decimal
1 octeto
2 octeto
3 octeto
4 octeto
IP
200.200.200.10
11001000
11001000
11001000
00001010
Mask
255.255.255.192
11111111
11111111
11111111
1100000
11001000
11001000
00001010
00000000
Decimal
1 octeto
2 octeto
3 octeto
4 octeto
IP
200.200.200.200
11001000
11001000
11001000
11001000
Mask
255.255.255.192
11111111
11111111
11111111
11000000
11001000
11001000
11001000
11000000
Multiplicao binria
Multiplicao binria
Resultados diferentes Redes diferentes = 200.200.200.0 e 200.200.200.192
51
Endereos IP no Mikrotik
Atentar para a especificao correta da mscara de rede que determinar o

endereo de rede e o de broadcast
52
Configurao de Rede
No AP Central:
1 Cadastrar o IP 192.168.100.254 com mscara 255.255.255.0 na wlan1
Nos alunos:
1 Cadastrar um IP 192.168.100.XY com mscara 255.255.255.0 wlan1 do
Mikrotik
2 Como ficou sua tabela de rotas ?
53
Protocolo ARP
(Address resolution Protocol)
Utilizado para associar IPs com endereos fsicos faz a interface entre a camada II
e a camada III.
Funcionamento:
O solicitante de ARP manda um pacote de broadcast com a informao do IP de
destino, IP de origem e seu MAC, perguntando sobre o MAC de destino
O Host que tem o IP de destino manda um pacote de retorno fornecendo seu
MAC
Para minimizar os broadcasts devido ao ARP, so mantidas no SO, as tabelas
ARP, constando o par IP MAC
54
Protocolo ARP
(Address resolution Protocol)
Observe a tabela ARP do AP

Consulte sua Tabela ARP
Torne a entrada do AP em uma entrada esttica, clicando com o boto
direito e Make Static
55
Roteamento
No AP Central:
1 Cadastrar a rota default no AP Central.
Nos alunos:
1 Cadastrar a rota default
2 Como ficou sua tabela de rotas ?
56
Cenrio inicial do Curso
57
Configurao de DNS
No AP Central:
1 Configure o DNS apontando-o para o DNS da operadora
Nos alunos:
1 Configure o DNS apontando para o AP Central
2 Teste a resoluo de nomes a partir do seu mikrotik
58
Camada IV - Transporte
No lado do remetente responsvel por pegar os dados das camadas
superiores dividir em pacotes para que sejam transmitidos para a camada de
rede.
No lado do destinatrio pega os pacotes recebidos da camada de rede,
remonta os dados originais e envia s camadas superiores.
Esto na Camada IV:

TCP, UDP, RTP, SCTP
59
Protocolo TCP
O TCP um protocolo de transporte e executa

importantes funes para garantir que os dados sejam
entregues de uma maneira confivel, ou seja, sem que os
dados sejam corrompidos ou alterados.
60
Caractersticas do protocolo TCP

Garante a entrega de datagramas IP
Executa a segmentao e reagrupamento de grandes blocos de dados enviados
pelos programas e Garante o seqenciamento adequado e entrega ordenada de
dados segmentados.
Verifica a integridade dos dados transmitidos usando clculos de soma de
verificao
Envia mensagens positivas dependendo do recebimento bem-sucedido dos dados.
Ao usar confirmaes seletivas, tambm so enviadas confirmaes negativas para
os dados que no foram recebidos
Oferece um mtodo preferencial de transporte de programas que devem usar
transmisso confivel de dados baseada em sesses, como bancos de dados
cliente/servidor e programas de correio eletrnico
61
TCP
Os segmentos TCP so encapsulados e

enviados em datagramas IP
62
Portas TCP
O uso do conceito de portas, permite que vrios programas estejam em

funcionamento, ao mesmo tempo, no mesmo computador, trocando
informaes com um ou mais servios/servidores.
Portas abaixo de 1024 so registradas para servios especiais
63
Estabelecimento de uma conexo TCP

Uma conexo TCP estabelecida em um processo de 3 fases:
O Cliente a conexo manda uma requisio SYN contendo o
nmero da porta que pretende utilizar e um nmero de sequencia inicial.
O Servidor responde com um ACK com o nmero sequencial
enviado +1 e um pacote SYN com um outro nmero de sequencia
SYN +1
O Cliente responde com um ACK com o numero recebido do

SYN (100)
Cliente
ACK (101), SYN (400)
Servidor
ACK (401)
64
Enviando dados com TCP
No caso da conexo ser abortada uma flag RST

mandada ao remetente
Data 1
Remetente
ACK
Destinatrio
O TCP divide o fluxo de dados em segmentos

o remetente manda dados em segmentos com um
nmero sequencial
o destinatrio acusa o recebimento de cada
segmento
o remetente manda os dados seguintes
se no recebe a confirmao do recebimento,
manda novamente
Data 2
NO ACK
Data 2
ACK
65
Encerrando uma conexo TCP

O processo de encerramento tambm feito em 4 fases:
- Remetente manda um pedido de FIN
- Destinatrio responde acusando o recebimento com um ACK
- Destinatrio manda seu pedido de FIN
- Remetente envia um ACK
FIN
Cliente
ACK
Servidor
FIN
ACK
66
Protocolo UDP
- O UDP (User Datagram Protocol) utilizado para o transporte rpido
entre hosts
- O UDP um servio de rede sem conexo, ou seja no garante a
entrega do pacote
- Mensagens UDP so encapsuladas em datagramas IP
67
Comparao TCP e UDP

UDP
TCP
Servio sem conexo. No estabelecida

sesso entre os hosts
Servio orientado por conexo. Uma

sesso estabelecida entre os hosts.
UDP no garante ou confirma a entrega

dos dados
Garante a entrega atravs do uso de

confirmao e entrega sequenciada dos
dados
Os programas que usam UDP so

responsveis pela confiabilidade
Os programas que usam TCP tem

garantia de transporte confivel de dados
Rpido, exige poucos recursos oferece

comunicao ponto a ponto e ponto
multiponto
Mais lento, usa mais recursos e somente

d suporte a ponto a ponto
68
Observe o estado de suas conexes em IP / Firewall / Connections
69
Fazendo uma conexao TCP

Nos alunos:
1 Abrir uma sesso de FTP para o IP do nosso servidor de FTP
2 Verifique a sua tabela de Connection Tracking
No AP Central:
1 Exibir a tabela de Connection Tracking
70
Dvidas ou consideraes acerca de:

Camadas fsica / enlace / rede / transporte / aplicao
Protocolo IP / Mascaras de rede ?
Protocolo ARP ?
TCP ?
UDP ?
71
Setup I - Configurao da sala em modo roteado

1 Certifique-se do funcionamento da conexo fsica do seu Mikrotik ao AP
do Curso pela Wireless, assim como os IPs configurados anteriormente.
2 Configure seu Laptop com o IP 10.10.XY.2/24, gateway 10.10.XY.1 e DNS
10.10.XY.1
3 Configure o DNS do seu Mikrotik apontando para 192.168.100.254 no
esquecendo de marcar allow remote requests
4 teste as conectividades:
Laptop seu Mikrotik
seu Mikrotik AP Central
Laptop AP Central
5 O que precisa ser feito para funcionar tudo ?
72
Setup II - Configurao da sala com NAT

Configure o mascaramento de rede
Teste a conectividade com o mundo exterior.
Apague backups anteriores eventualmente feitos e faa um backup de suas
configuraes
Salve os backups tambem no seu Laptop. Elas sero teis durante o curso.
73
Mikrotik
&
Wireless
74
Configuraes da camada Fsica

Bandas de operao
75
Configuraes Fsicas / Banda

Resumo dos padres IEEE empregados e suas caractersticas:
Padro IEEE
Freqncia
Tecnologia
Velocidades
802.11b
2.4 Ghz
DSSS
1, 2, 5.5 e 11mbps
802.11g
2.4 Ghz
OFDM
6, 9, 12, 18, 24, 36

48 e 54 mbps
`802.11a
5 Ghz
OFDM
6, 9, 12, 18, 24, 36

48 e 54 mbps
OBS: Padro 802.11n ainda em fase draft

- previso para ser ratificado at o final de 2008
76
Canais em 2.4Ghz
22 Mhz
2412
2437
2462
Canais no interferentes em 2.4Ghz
2412
2437
2462
2.4Ghz-B: Modo 802.11b, que permite velocidades nominais de 1, 2, 5.5 e 11 mbps. Utiliza
espalhamento espectral em seqncia direta.
2.4Ghz-B/G: Modo misto 802.11b e 802.11g que permite as velocidades acima 802.11b e 6,
9, 12, 18, 24, 36, 48 e 54 mbps quando em G. Utiliza OFDM em 802.11g
2.4Ghz-only-G: Modo apenas 802.11g.
Canais do espectro de 5Ghz

20 Mhz
Em termos regulatrios a faixa de 5 Ghz dividida em 3 faixas:

Faixa Baixa:
5150 a 5250 e 5250 a 5350 (Mhz)
Faixa Mdia:
5470 a 5725 (Mhz)
Faixa Alta:
5725 a 5850 (Mhz)
Aspectos Legais do espectro de 5Ghz
Faixa Baixa
Faixa Mdia
Faixa Alta
Freqncias
5150-5250
5250-5350
5470-5725
57255850
Largura
100 Mhz
100 Mhz
255 Mhz
125 Mhz
canais
4 canais
4 canais
11 canais
5 canais
Deteco de radar
obrigatria
Deteco de radar
obrigatria
5Ghz: Modo 802.11a opera na faixa de 5 Ghz, baixa mdia e alta e permite velocidades
nominais identicas ao do modo G, ou seja 6, 9, 12, 18, 24, 36, 48 e 54 mbps
Freqncia (Mhz)
Largura faixa
Nmero de canais
5150 5350
200 Mhz
4
5470 - 5725
5725 - 5850
255 Mhz
125 Mhz
11
5
82
Canalizao em 802.11a
Modo Turbo
Maior troughput
Menor nmero de canais
Maior vulnerabilidade a interferncias
Requerida sensibilidade maior
Diminui nvel de potencia de Tx
83
5Ghz-turbo: Modo 802.11a opera na faixa de 5 Ghz, baixa mdia e alta e permite
velocidades nominais identicas ao do modo G, ou seja 6, 9, 12, 18, 24, 36, 48 e 54 mbps
Freqncia (Mhz)
Largura faixa
Nmero de canais
5150 5350
200 Mhz
2
5470 - 5725
5725 - 5850
255 Mhz
125 Mhz
2
84
Canalizao em 802.11a
Modos 10 e 5 Mhz
Menor troughput
Maior nmero de canais
Menor vulnerabilidade a interferncias
Requerida menor sensibilidade
Aumenta nvel de potencia de Tx
85
Faixa de 900 Mhz

No Brasil, de acordo com a resoluo 506/2008, possvel a utilizao da faixa de 900 Mhz
sem licena. Esta faixa de freqncias tem sido empregada para aplicaes com visada
parcial ou at sem visada. No entanto seu emprego deve ser cuidadoso para atender a
legislao..
Faixas permitidas
Freqncia (Mhz)
conf resol 506:
Largura faixa
Canais que o fabricante garante o funcionamento:

Canal 3 -> 922 Mhz (10Mhz, 5Mhz)
Canal 4 -> 917 Mhz (20Mhz, 10Mhz, 5 Mhz)
Canal 5 -> 912 Mhz (20Mhz, 10Mhz, 5 Mhz)
902 907.5
5.5 Mhz
915 - 928
13 Mhz
Na V3:
Variaes possveis no Brasil:

Canal 4 -> 917 Mhz (10Mhz, 5 Mhz)
86
Recorte de tela efetuado: 8/6/2008, 9:06 PM

Potncias
87
Configuraes da camada Fsica - Potncias
default: no interfere na potencia original do carto

card rates: fixa mas respeita as variaes das taxas para diferentes velocidades
all rates fixed: fixa em um valor para todas velocidades
manual: permite ajustar potencias diferentes para cada velocidade
88
Configuraes da camada Fsica - Potncias
Quando a opo regulatory domain est sendo utilizada, somente as frequencias

permitidas no pas selecionado em Country estaro disponveis. Alem disso o Mikrotik
Ajustar a potencia do rdio para atender a regulamentao do pas, levando em conta
o valor em dBi informado no campo Antenna Gain
OBS: At a verso 3.11 tal ajuste no era feito corretamente para o Brasil.
89

seleo de antenas
Em cartes de rdio que tem duas saidas para
Antenas possvel uma ou outra.
Antena a: utiliza a antena a (main) para tx e rx
Antena b: utiliza a antena b (aux) para tx e rx
rx-a/tx/b: recepo em a e transmisso em b
tx-a/rx-b: transmisso em a e recepo em b
90

seleo de antenas
Em cartes de rdio que tem duas saidas para
Antenas possvel uma ou outra.
Antena a: utiliza a antena a (main) para tx e rx
Antena b: utiliza a antena b (aux) para tx e rx
rx-a/tx/b: recepo em a e transmisso em b
tx-a/rx-b: transmisso em a e recepo em b
91

DFS
no radar detect: escaneia o meio e escolhe o
canal em que for encontrado o menor nmero de
redes
radar detect: escaneia o meio e espera 1
minuto para entrar em operao no canal
escolhido se no for detectada a ocupao
nesse canal.
O modo DFS (Seleo Dinmica de Frequncia)
obrigatrio para o Brasil nas faixas de 52505350 e 5350-5725
92

Prop. Extensions e WMM support
Proprietary Extensions: Opo com a nica

finalidade de dar compatibilidade ao Mikrotik
com chipsets Centrino (post-2.9.25)
WMM support: QoS no meio fsico (802.11e)
enabled: permite que o outro dispositivo
use wmm
required: requer que o outro dispositio
use wmm
93

AP e Client Tx Rate / Compression
Default AP Tx Rate: Taxa mxima em bps
que o AP pode transmitir para cada um de seus
clientes. Funciona para qualquer tipo de cliente
Default Client Tx Rate: Taxa mxima em bps
que o Cliente pode transmitir ao AP. S funciona
para clientes Mikrotik.
Compression: Recurso de compresso em
Hardware disponvel no Chipset Atheros.
Melhora desempenho se o cliente possuir esse
recurso. No afeta clientes que no possuam.
(Recurso incompatvel com criptografia)
94

Data Rates
A velocidade em uma rede Wireless definida
pela modulao que os dispositivos conseguem
trabalhar.
Supported Rates: So as velocidades de
trfego de dados entre APs e clientes .
Basic Rates: So as velocidades que os
dispositivos se comunicam independentemente
do trfego de dados em si (beacons, mensagens
de sincronismo, etc)
Embora o prprio manual do Mikrotik aconselhe
deixar as velocidades em seu default, melhores
performances so conseguidas evitando
trabalhar em baixas velocidades
95

Ack Timeout
Dados
A
B
Ack
O Ack Timeout o tempo que um dispositivo Wireless espera pelo pacote

de Ack que deve ser enviado para confirmar toda transmisso Wireless.
dynamic : O Mikrotik calcula dinamicamente o Ack de cada cliente
mandando de tempos em tempos sucessivos pacotes com Ack timeouts
diferentes e analisando as respostas.
indoors: valor constante para redes indoor.
pode ser fixado manualmente digitando-se no campo.
96

Valores referenciais para Ack Timeout
OBS: Valores orientativos. Valores ideais podem estar em uma faixa de +- 15 microsegundos
97

(Advanced)
Max Station Count: Nmero mximo de clientes
Wireless que podem se conectar a uma interface da AP.
Noise Floor Threshold : Limiar do piso de rudo do
ambiente (em dBm). Se no informado, utiliza o valor
lido pelo carto.
Periodic Calibration: O Mikrotik efetua calibraes
peridicas no chipset para garantir a correta leitura de
dados como nveis de sinal e rudo.
Patente Atheros: ver documento anexo
MikrotikBrasil_Wireless_01.pdf
Calibration Interval: Intevalo de tempo em que
essas calibraes so repetidas...
98

(Advanced)
Hardware Retries: Nmero de tentativas de
comunicao para um dispositivo, at que a
comunicao seja considerada falha. Na falha a
velocidade deve ser decrescida. Se no houver
velocidade mais baixa, 3 falhas seqenciais ativam
uma pausa nesse mecanismo pelo valor em
milissegundos configurado em on-fail-retry-time
On Fail Retry Time: Tempo aps o qual repetida a
comunicao com um dispositivo para o qual a
transmisso tenha falhado na velocidade mais baixa
suportada.
Disconnect Timeout: Tempo em segundos, a partir
da terceira falha no envio (3 x (hw-retries + 1)) na
velocidade mais baixa (ou seja a partir da primeira vz
que o on-fail-retry-time foi ativado) em que o cliente
desconectado (aparece nos logs como extensive data
loss
99

(Advanced)
Burst Time: Tempo em microsegundos que o carto
pode transmitir continuamente. Nenhum outro disositivo
conseguir transmitir durante esse tempo. O suporte a
essa funcionnalidade pode ser visto na varivel burstsupport em /interface wireless info print.
Frame Lifetime: Tempo de vida de um pacote em
centisegundos contado a partir do incio da tentativa de
transmiti-lo.O default dessa opo zero, que significa
que nenhum pacote ser descartado at que o cliente
seja desconectado.
Update Stats Interval: Freqncia de atualizao
das estatsticas de sinal e de valor de CCQ. Essa
opo no altera a visualisao geral, mas sim a
individual por cliente. (por default as atualizaes so
efetuadas a todo momento e configuradas, mnimo 10
segundos)
100

(Advanced)
Adaptive Noise Immunity: Habilita o ajuste de
vrios parametros de recepo com a finalidade de
minimizar os efeitos de interferncias na qualidade de
sinal. Funcionalidade disponvel somente em chipsets
Atheros mais recentes.
Patente Atheros: Ver documento anexo
MikrotikBrasil_Wireless_02.pdf
Preamble Mode: Para sincronizar transmisses as
estaes precisam trocar mensagens de sincronismo.
O padro inicial das redes Wi-Fi de 128 bits (long) e
diversos fabricantes suportam preambulo de 56 bits
(short). Sendo todos os dispositivos capazes de
preambulo curto, interessante habilitar para melhorar
a performance da rede.
101
Ferramentas de Site Survey
102
Interface Wireless / Geral / Scan
Escaneia o meio (causa queda das conexes estabelecidas)

A Ativa
B BSS
P Protegida
R rede Mikrotik
N Nstreme
Na linha de comando pode ser acessada em /interface/wireless/scan wlan1
103
Interface Wireless / Geral / Uso de frequencias
Mostra o uso das frequencias em todo o espectro, para site survey

(causa queda das conexes estabelecidas)
Na linha de comando pode ser acessada em
/interface/wireless/frequency-monitor wlan1
104
Interface Wireless / Geral / Alinhamento
Ferramenta de alinhamento com sinal sonoro

( Colocar o MAC do AP remoto no campo Filter e campo Audio)
Rx Quality Potencia (dBm) do ltimo pacote recebido
Avg. Rx Quality Potencia mdia dos pacotes
recebidos.
Last Rx tempo em segundos do ltimo pacote foi recebido
Tx Quality Potencia do ltimo pacote transmitido
Last Rx tempo em segundos do ltimo pacote transmitido
OBS: Filtrar MAC do PtP
Correct nmero de pacotes recebidos sem erro

105
Interface Wireless / Geral / Sniffer
Ferramenta para sniffar o ambiente Wireless captando e decifrando pacotes

Muito til para detectar ataques do tipo deauth attack e monkey jack
Pode ser arquivado no prprio Mikrotik ou passado por streaming para outro sevidor com o protocolo TZSP
Na linha de comando habilita-se em / interface wireless sniffer sniff wlan1
106
Interface Wireless / Geral / Snooper
Com a ferramenta Snooper possvel monitorar a carga de trfego em cada canal, por estao e
por rede.
Escaneia as frequencias definidas em scan-list da interface
107
Configuraes de Modo de
Operao
108
Interface Wireless / Geral
Comportamento do protocolo ARP

disable: no responde a solicitaes ARP. Clientes tem de acessar por
tabelas estticas.
proxy-arp: passa o seu prprio MAC quando h uma requisio para algum
host interno ao roteador.
reply-only: somente responde as requisies. Endereos de vizinhos so
resolvidos estaticamente
109
Configuraes Fsicas / Modo Operao
ap bridge: Modo Ponto de Acesso (AP) repassa os MACs do meio Wireless de forma
transparente para o meio Cabeado.
bridge: Modo idntico ao modo ap bridge, porm aceitando um cliente apenas.
station: Modo cliente de um AP No pode ser colocado em bridge com outras interfaces
110
station pseudobridge: Estao que pode ser colcada em modo bridge, porm que passa
ao AP sempre o seu prprio endereo MAC (uma bridge verdadeira passa os MACs
internos a ela).
station pseudobridge clone: Modo idntico ao pseudobridge, porm que passa ao AP um
MAC pr determinado do seu interior.
station wds: Modo estao, que pode ser colocado em bridge com a interface ethernet e
que passa de forma transparente os MACs internos (bridge verdadeira). necessrio que o
AP esteja em modo WDS (ver tpico especfico de WDS, a frente)
111
alignment only: Modo utilizado para efetuar alinhamento de antenas e monitorar sinal.
Neste modo a interface Wireless escuta os pacotes que so mandados a ela por outros
dispositivos trabalhando no mesmo canal.
wds slave: Ser visto no tpico especfico de WDS.
Nstreme dual slave: Visto no tpico especfico de Nstreme / Nstreme Dual
112
Configuraes Fsicas
Protocolo Nstreme
113

Como trabalha o CSMA Carrier Sense Multiple Access
Estao A
defer
Estao B
Redes Ethernet Tradicionais
CRS
Mtodo CSMA/CD
CRS
defer
Estao C
CRS
(Collision Detection)
CRS
COLISO
Estao A
Redes Wireless 802.11

Estao B
backoff
Mtodo CSMA/CA
CRS
Estao C
defer
backoff
CRS
CRS
(Collision Avoidance)
backoff (rest)
CRS
114

Nstreme
Enable Nstreme: Habilita o Nstreme.
(As opes abaixo dessa s fazem sentido
estando esta habilitada.)
Enable Polling: Habilita o mecanismo de Polling. Recomendado
Disable CSMA: Desabilita o Carrier Sense. Recomendado
Framer Policy: Poltica em que sero agrupados os pacotes:
dynamic size: O Mikrotik determina
best fit: agrupa at o valor definido em Framer Limit sem fragmentar
exact size: agrupa at o valor definido em Framer Limit fragmentando se
necessrio
Framer Limit: Tamanho mximo do pacote em Bytes.
115

Nstreme Dual
1 : Passar o modo de operao das
interfaces para nstreme dual slave.
2 : Criar uma interface

Nstreme Dual definindo
quem Tx e quem Rx.
(usar canais distantes)
116

Nstreme Dual
3 : Verificar o MAC
escolhido pela interface
Nstreme dual e informar no
lado oposto.
4 : Criar uma bridge entre
a ethernet e a interface
Nstreme Dual.
Prticas de RF recomendadas:
Antenas de qualidade, Polarizaes invertidas, canais distantes, distancia entre
antenas.
117
WDS & Mesh WDS
118
WDS : Wireless Distribution System

CANAL 11
CANAL 1
CANAL 1
Com WDS possvel criar uma cobertura Wireless ampla e permitindo

que os pacotes passem de um AP ao outro de forma transparente. Os Aps devem
ter o mesmo SSID e estarem no mesmo canal.
2 APs com WDS

AP-3
Bridge learn
table
AP-3
Bridge learn
table
Wireless PC-Card
yyy
xxx
yyy
xxx
Wireless PC-Card
Tabela de associaes
STA-2
Tabela de associaes
WDS Relay
STA-1
Packet for STA-2
WDS Relay
ACK
Pacote para STA-2
Pacote para STA-2
ACK
ACK
BSS-B
STA-1
xxx
BSS-A
STA-2
yyy
WDS : Wireless Distribution System
INTERNET
CANAL 1
INTERNET
WDS / Mesh WDS

RSTP
Para evitar o looping na rede necessrio habilitar o protocolo STP ou RSTP. Ambos
protocolos trabalham de forma semelhante sendo o RSTP mais rpido.
O (R)STP inicialmente elege uma root bridge e utiliza o algortimo breadth-first search que
quando encontra um MAC pela primeira vz, torna o link ativo. Se o encontra outra vz,
torna o link desabilitado.
Normalmente habilitar o (R)STP j o suficiente para atingir os resultados. No entanto
possvel interferir no comportamento padro, modificando custos, prioridades, etc.
122
WDS / Mesh WDS

(R)STP
Ajustar para baixo se desejar assegurar a eleio
dessa bridge como root .
Custo: permite um caminho ser eleito em lugar de outro
Prioridade: quando os custos so iguais, eleito o de

prioridade mais baixa.
123
WDS / Mesh WDS

(R)STP
Admin MAC Address
A Bridge usa o endereo MAC da porta ativa com o menor nmero de porta
A porta Wireless est ativa somente quando existem hosts conectados a ela.
Para evitar que os MACs fique variando, possvel atribuir manualmente
um endereo MAC.
124
WDS / Mesh WDS

WDS Default Bridge: Informe aqui a bridge
default.
WDS Default Cost: Custo da porta da bridge
do link WDS.
Modos de WDS
WDS Cost Range: Margem do custo que pode

ser ajustada com base no troughput do link
dynamic: as interfaces WDS so criadas dinamicamente quando um

dispositivo em WDS encontra outro compatvel (mesmo SSID e canal)
static: As interfaces tem de ser criadas manualmente com cada uma
apontando para o MAC de sua parceira
dynamic mesh: O mesmo que dinmica, porm com um algortmo
proprietrio para melhoria do link (no compatvel com outros fabricantes)
static mesh: A mesma explicao acima, porm para esttiva.
125
Wireless / Interfaces / WDS
WDS:
Cria-se as interfaces WDS, dando os parametros:
Name: Nome da rede WDS
Master Interface: Interface sobre a qual
funcionar o WDS, podendo esta inclusive ser uma
interface virtual
WDS ADDRESS: Endereo MAC que a interface
WDS ter.
126
WDS / Mesh WDS

Laboratrios de WDS/Mesh
Link transparente com station-wds

Rede Mesh com WDS+RSTP
WDS-Slave
127
Interface Wireless / Wireless

Default AP Tx Rate: Estabelece a taxa mxima, em bps, que cada cliente pode ter de
download
Default Client TX Rate: Estabelece a taxa mxima, em bps, que cada cliente pode
enviar ao AP s funciona para cliente tambm Mikrotik.
Default Authenticate: (default-authentication) Especifica a ao padro a ser adotada
pela AP para os clientes Wireless que no estejam declarados na access list ( controle de
MAC ). Para os equipamentos configurados como clientes, especifica a ao a ser
adotada para os APs que no estejam na Connect List.
yes: Como AP, deixa o cliente se associar, mesmo se no estiver declarado nas accfess
list. Como cliente, associa-se a qualquer AP, masmo que no esteja na connect list
Default Forward: (default-forwarding) Determina se poder haver comunicao entre
clientes conectados na mesma interface Wireless. Esse bloqueio feito na camada 2 de
enlace e portanto independente de IP. ( algumas APs tem esse recurso como IntraBSS
relay)
- yes (marcado): permite a comunicao
- No (desmarcado) no permite.a comunicao.
OBS: Quando as interfaces esto em Bridge, pode haver comunicao entre clientes de
interfaces diferentes, mesmo com esse recurso habilitado.
Hide SSID: Determina se o AP vai divulgar o nome da Rede em broadcast atravs de
beacons
- yes (marcado): no divulga, somente respondendo aos clientes que enviarem os probe
requests
- no (desmarcado): divulga o nome da rede.
128
APs Virtuais
129
Wireless / Interfaces
Interfaces Virtuais:
Criando interfaces virtuais podemos montar vrias
redes dando perfis de servio diferentes
Name: Nome da rede virtual
MTU: Unidade de transferencia mxima (bytes)
MAC Address: D o MAC que quiser para o novo AP !
ARP
Enable/Disable: habilita/desabilita
proxy-arp: passa seu MAC
reply-only
OBS: Demais configuraes identicas de uma AP
130
Controle de Acesso
131
Wireless Tables / Access List
O Access List utilizado pelo Access Point para restringir associaes de clientes.
Esta lista contem os endereos MAC de clientes e determina qual a ao deve ser
tomada quando um cliente tenta conectar. A comunicao entre clientes da mesma
interface, virtual ou real, tambm controlada nos Access List.
O processo de associao ocorre da seguinte forma:
- Um cliente tenta se associar a uma interface Wlanx
- Seu MAC procurado no acces list da interface Wlanx.
- Caso encontrada a ao especificada ser tomada:
- authenticate marcado: deixa o cliente se autenticar
- forwarding marcado, o cliente se comunica com outros..
132
Wireless Tables / Access List

Access List
MAC Address: Mac a ser liberado
Interface: Interface Real ou Virtual onde ser
feito o controle.
AP Tx Limit: Limite de trfego AP cada
Cliente
Private Key: Chave de criptografia

40 bit wep
128 bit wep
Aes-com
Client Tx Limit: Limite de trfego Cliente AP

( s vale para cliente Mikrotik )
Authentication: Habilitado, autentica os MACs
declarados.
Forwarding: Habilitdo permite a comunicao
entre clientes habilitados ( intra bss ) 133
Wireless Tables / Connect List
A Connect List tem a finalidade de listar os pontos de

Acesso que o Mikrotik configurado como cliente pode se
conectar.
MAC Address: MAC do AP
SSID: Nome da Rede
Area Prefix: String para conexo com o AP de mesma
area
Security Profile: definido nos perfis de segurana.
OBS: Essa opo interessante para evitar que o Cliente
se associe em um Ponto de Acesso falso ( sequestro do
AP )
134
Segurana em Wireless
135
Wireless Tables / Security Profiles
Na tabels Security Profiles so definidos os perfis de

segurana da parte Wireless que podem ser utilizados no
RouterOS
Name: nome que aparecer em outras telas,
referenciando esse perfil
Mode: Modo de operao
dynamic keys: gera chaves dinamicas
automaticamente
static-keys-required: criptografa todos os pacotes e
somente aceita pacotes criptografados
static-keys-optional: se existe uma chave privada
esttica de estao (static-sta-private-key), esta ser
utilizada. Caso contrrio, estando a estao no modo AP,
no ser utilizada criptografia e em modo estao usar
se estiver setada a static-transmit-key
136
Evoluo dos Padres de Segurana Wireless
+ SEGURANA
WPA2 (802.11i) c/ EAP

WPA2 (802.11i) c/ PSK
WPA c/ AES ccm
WPA c/ MD5
WEP c/ TKIP
WEP 128 bits
WEP 64 bits
137
Wireless Tables / Security Profiles
Authentication Types:
WPA: Mtodo no padro IEEE utilizado durante algum
tempo pela indstria para evitar problemas do WEP
WPA2: Mtodo compatvel com 802.11i do IEEE.
PSK: Pr Shared Key Chave compartilhada entre dois
dispositivos.
EAP: Extensive Authentication Protocol
OBS: O AP ir divulgar todos os modos de autenticao
marcados aqui e as estaes escolhero o mtodo
considerado mais seguro. Exemplo, WPA EAP ao invs de
WPA PSK.
138
Wireless Tables / Security Profiles / General
Unicast Chipers:
TKIP: Protocolo de integridade de chave Temporal. Mtodo
utilizado durante algum tempo para contornar problemas da WEP.
Proxim implementa como WEP plus
AES CCM: Mtodo de criptografia WPA mais seguro, que utiliza
algortimo AES.
PSK: Pr Shared Key Chave compartilhada entre dois
dispositivos.
EAP: Extensive Authentication Protocol
OBS: O AP ir divulgar todos os modos de autenticao marcados
aqui e as estaes escolhero o mtodo considerado mais seguro.
Exemplo, WPA EAP ao invs de WPA PSK.
139
Wireless Tables / Security Profiles / EAP
Mtodos EAP:
Passtrough: Repassa o pedido de autenticao para um
Servidor Radius ( esta opo somente usada em APs)
EAP/TLS: Utiliza um Certificado TLS ( Transport Layer
Certificate)
TLS Mode:
no-certificate: Certificados so negociados
dinamicamente utilizando o algortimo de Diffie-Helmman
dont-verify-certificate: exige o certificado, porm no o
confere com uma entidade certificadors.
verify-certificate: exige e verifica
TLS Certificate: Habilita um certificado importado em
/certificates
140
Wireless Tables / Security Profiles / Static Keys
Static Keys:
Utilizado em caso de WEP
141
Firewall
com Mikrotik
142
Firewall
O Firewall normalmente usado como ferramenta de segurana para prevenir o

acesso no autorizado rede interna e ou acesso ao roteador em si, bloquear diversos
tipos de ataques e controlar o fluxo de dados tanto de entrada como de sada.
Alm de segurana no Firewall que sero desempenhadas diversas funes
importantes como a classificao e marcao de pacotes para uso nas ferramentas de
QoS
A classificao do trfego feita no Firewall pode ser baseada em vrios classificadores
como endereos MAC, endereos IP, tipos de endereos IP (broadcast, multicast, etc)
portas de origem e de destino, range de portas, protocolos, Tipo do Servio (ToS),
tamanho do pacote, contedo do pacote, etc etc.
143
Firewall viso geral
Filter Rules: onde ficam as regras de filtros de pacotes

NAT: onde feito a traduo de endereos (mascaramento por exemplo)
Mangle: onde feita a marcao de pacotes, conexes e roteamento
Connections: onde so visualizadas as conexes existentes
Address Lists: lista de endereos IP inserida manual ou dinamicamente que
podem ser utilizados em vrias partes do Firewall
Layer 7 Protocols: Filtros de camada 7 (Aplicao)
144
Princpios Gerais de Firewall

Canais default
- Um Firewall opera por meio de regras de Firewall. Uma regra uma expresso lgica
que diz ao roteador o que fazer com um tipo particular de pacote.
- Regras so organizadas em canais ( chains ) e existem 3 canais pr definidos:
Input : responsvel pelo trfego que vai PARA o router
Forward : responsvel pelo trfego que PASSA pelo router
Output : responsvel pelo trfego que SAI do router
145
Diagrama da Estrutura de Filtro
Filtro Forward
Deciso de
Deciso de
Filtro Input
Filtro Output
Interface de
Processo Local
Processo Local
Interface de
entrada
IN
OUT
Sada
roteamento
Roteamento
146

Regras
1 - As regras de Firewall so sempre processadas por canal, na ordem que so

listadas, ou seja de cima para baixo.
2 - As regras de firewall funcionam como o que em programao chamamos de
expresses condicionais , ou seja se <condio> ento <ao>
3 Se um pacote no atende TODAS as condies de uma regra ele passa para a
regra seguinte.
147

Regras
4 Quando o pacote atende a TODAS as condies da regra tomada uma ao com

ele, no importam as regras que estejam abaixo nesse canal, pois estas NO sero
processadas
5 Existem algumas excesses ao critrio acima, que so as aes de passthrough (
passar adiante ) , log e add to address list. (visto adiante)
6 - Um pacote que no se enquadre em qualquer regra do canal, ser por default
aceito.
148
Firewall do Mikrotik Filter Rules

As regras de filtro podem ser organizadas e mostradas das seguintes maneiras:
all: todas
dynamic: regras dinmicamente criadas por servios (ex. Hotspot)
input: regras do canal input
output: regras do canal output
forward: regras do canal forward
149
Algumas aes que se pode tomar nas regras de filtro:

accept: aceita o pacote
passthrough: ignora a regra (mas contabiliza) e passa
para a regra seguinte
drop: descarta silenciosamente o pacote
reject: descarta o pacote e responde com uma
mensagem de icmp ou tcp reset (ver ao lado)
tarpit: Respondendo com SYN/ACK ao um pacote
TCP/SYN entrante, mas no conclui a conexo.
150
Firewall / Filtro / canais criados pelo usurio

Alm dos canais padro, o administrador pode criar canais prprios, bastando dar
nomes a eles. Essa prtica ajuda muito na organizao do Firewall.
Para utilizar um canal criado devemos desviar o fluxo atravs de uma ao JUMP..
No exemplo abaixo, alm de input, output e forward, esto criados canais
chamados sanidade, segurana, vrus, etc.
151
Como funciona o canal criado pelo usurio

Regra
Regra
Regra
Regra
Regra
Regra
JUMP
Regra
Regra
Regra
Regra
Regra
Regra
Regra
Regra
Regra
Regra
Regra
Regra
Alm dos canais

padro, o
administrador pode
criar canais prprios
e associa-los a um
canal padro.
Canal criado pelo usurio

152
Como funciona o canal criado pelo usurio

Regra
Regra
Regra
Regra
Regra
Regra
JUMP
Regra
Regra
Regra
Regra
RETURN
Regra
Regra
Regra
Regra
Regra
Regra
Regra
Caso exista uma

regra que tome a
ao RETURN,
o retorno feito
antecipadamente e
as regras abaixo
deste so ignoradas
Canal criado pelo usurio

153

Aes relativas a canais criados pelo usurio que se pode
tomar nas regras de filtro:
jump: salta para o canal definido em jump-target
Jump Target: nome do canal para onde deve saltar
Return: Volta para o canal que chamou o jump
154
Firewall do Mikrotik Address Lists

Uma Address List, ou lista de
endereos uma lista de endereos IP
que pode ter vrias utilizaes,
conforme sero vistos alguns
exemplos mais adiante.
Pode-se adicionar dinamicamente
entradas a essas listas no Filtro ou no
Mangle.
Aes:
add dst to address list: adiciona o IP de destino lista
add src to address list: adiciona o IP de origem lista
Address List: nome da lista de endereos
Timeout: por quanto tempo a entrada ir permanecer
155
Connection Tracking
Connection Tracking ( seguimento de conexes ) se refere a habilidade do roteador
de manter o estado da informao relativa s conexes, tais como endereos IP de
origem ou destino e pares de porta, estados da conexo, tipos de protocolos e
timeouts. Firewalls que fazem connection tracking so chamados de "stateful" e so
mais seguros que aqueles que fazem o processamento "stateless
156
Connection Tracking
- O sistema de Connection Tracking ou Conntrack o corao do Firewall. Ele obtem e
mantm informaes sobre todas as conexes ativas.
- Quando se desabilita a Funo de Connection Tracking so perdidas as
funcionalidades de NAT e marcao de pacotes que dependam de conexo. Pacotes
no entanto podem ser marcados diretamente.
-.Conntrack exigente de recursos de hardware. Quando o equipamento trabalha

apenas como AP Bridge por exemplo, indicado desabilita-la
157
Localizao da Conntrack
Filtro Forward
Deciso de
roteamento
Filtro Input
Conntrack
Filtro Output
Deciso de
Roteamento
Conntrack
Interface de
Processo Local
Processo Local
Interface de
entrada
IN
OUT
Sada
158
Connection Tracking
O estado de uma conexo pode ser:

established: significando que o pacote parte de uma conexo j estabelecida
anteriormente
new: significando que o pacote est iniciando uma nova conexo ou faz parte de
uma conexo que ainda no trafegou pacotes em ambas direes
related: significando que o pacote inicia uma nova conexo, mas que essa
associada a uma conexo existente como FTP por exemplo
invalid: significando que o pacote no pertence nenhuma conexo conhecida
nem est iniciando outra.
159
Firewall Filter
Protegendo o prprio Roteador e os Clientes
160
Princpios Bsicos de Proteo

Proteo do prprio roteador
tratamento das conexes e eliminao de trfego prejudicial/intil
permitir somente os servios necessrios no prprio roteador
prevenir e controlar ataques e acesso no autorizado ao roteador
Proteo da rede interna
tratamento das conexes e eliminao de trfego prejudicial/intil
permitir somente os servios necessrios nos clientes
prevenir e controlar ataques e acesso no autorizado em clientes.
161
Regras de Firewall
tratamento de conexes
Regras no Canal Input
Descarta conexes invlidas
Aceita conexes estabelecidas
Aceita conexes relacionadas
Aceita todas as conexes da rede interna
Descarta o restante
162
Regras no Canal Input cont.
Regras de Firewall
Controle de servios
Permitir o acesso externo ao Winbox

Permitir acesso externo por SSH
Permitir acesso externo por Telnet
Relocar as regras para que funcionem
163
Regras de Firewall
Filtrando trfego prejudicial/intil
Filtros de portas de vrus

Bloqueia portas mais populares utilizadas por vrus TCP e UDP 445 e 137-139
No momento existem algumas centenas Trojans ativos e menos de 50 tipos de vrus
ativos
No site da Mikrotik h uma lista com as portas e protocolos que utilizam esses vrus.
Baixar lista de vrus Mikrotik e fazer as regras de acordo
164
Regras de Firewall
Filtrando trfego indesejvel e possveis ataques
Controle de ICMP
-Internet Control Message Protocol (ICMP) basicamente uma ferramenta para
diagnstico da rede e alguns tipos de ICMP obrigatoriamente devem ser liberados.
-Um roteador tipicamente utiliza apenas 5 tipos de ICMP (type:code), que so:
- PING Mensagens 0:0 e 8:0
- TRACEROUTE Mensagens 11:0 e 3:3
- PMTUD Path MTU discovery mensagem 3:4
Os outros tipos de ICMP podem ser bloqueados.
165
Regras de Firewall
Filtrando trfego indesejvel
IPs Bogons:
Existem mais de 4 milhes de endereos IPV4
Existem muitos ranges de IP restritos em redes pblicas
Existem vrias ranges de IPs reservados (no usados at o momento) para
propsitos especficos.
No material do curso est disponvel uma Lista de IPs Bogons atualizada em maio de
2008, baseado no site Cymru que mantm a movimentao desses IPs atualizada.
http://www.cymru.com/Documents/bogon-dd.html
IPs Privados:
Muitos aplicativos mal configurados geram pacotes destinados a IPs privados e
uma boa prtica filtra-los.
166
Firewall
Protees de ataques
Ping Flood
Ping Flood consiste usualmente de
grandes volumes de mensagens de ICMP
aleatrias
possvel detectar essa condio com a
regra ao lado
Interessante associar essa regra com
uma de log
167
Firewall - Protees de ataques

Port Scan
Consiste no escaneamento de portas
TCP e UDP
A deteco somente possvel para
ataques de TCP
Portas baixas (0 1023)
Portas altas (1024 65535)
168

DoS
O Principal objetivo do ataque de DoS o consumo de recursos como CPU ou
largura de banda.
Usualmente o roteador inundado com requisies de conexes TCP/SYN
causando a resposta de TCP/SYN-ACK e a espera do pacote de TCP/ACK
Normalmente no intencional e causada por vrus em clientes
Todos IPs com mais de 10 conexes com o roteador podem ser considerados
atacantes .
169

DoS
Ataques DoS - cont
Se simplesmente descartarmos as conexes, permitiremos que o atacante crie
uma nova conexo.
A proteo pode ser implementada em dois estgios:
Deteco criando uma lista dos atacantes DoS com base em connection
limit
Supresso aplicando restries aos que forem detectados.
170

DoS
171

DoS
Com a ao tarpit aceitamos a conexo e a

fechamos, no deixando no entanto o atacante
trafegar.
Esta regra deve ser colocada antes da regra

de deteco ou ento a address list vai
reeescreve-la todo o tempo.
172
Firewall
Protees de ataques
dDOS
Ataques de dDos (dDoS) so bastante
parecidos com os de DoS, porm partem de
um grande nmero de hosts infectados
A nica medida que podemos tomar

habilitar a opo TCP syn cookie no
connection tracking do Firewall
173
Regras de Firewall
Proteo da Rede Interna
Regras primeiras no Canal Forward
Descarta conexes invlidas
Aceita conexes estabelecidas
Aceita conexes relacionadas
174
Firewall do Mikrotik NAT

NAT Network Address Translation uma tcnica que permite que hosts em uma
LAN usem um conjunto de endereos IP para comunicao interna e outro para
comunicao externa.
Existem dois tipos de NAT:
Source Nat (srcnat), ou NAT de origem, quando o roteador reescreve o IP de
origem e ou a porta por um outro IP de destino.
SRC
DST
SRC NAT
Novo SRC
DST
Destination NAT (dstnat), ou NAT de destino quando o roteador reescreve o

endereo ou a porta de destino.
SRC
DST
DST NAT
SRC Novo DST

175
As regras de NAT so organizadas em canais:

dstnat:
Processa o trfego mandado PARA o roteador e ATRAVS do roteador, antes que ele
seja dividido em INPUT e FORWARD.
src-nat:
Processa o trfego mandado a PARTIR do roteador e ATRAVS do roteador, depois
que ele sai de OUTPUT e FORWARD
176
NAT
Filtro Forward
Dstnat
Deciso de
Roteamento
Filtro Output
Deciso de
Roteamento
Conntrack
Filtro Input
Conntrack
Srcnat
Interface de
Processo Local
Processo Local
Interface de
entrada
IN
OUT
Sada
177
NAT - Exemplos
Source NAT - Mascarando a rede 192.168.0.0/24 atrs do IP 200.200.200.200 que est
configurado na interface ether1
Os pacotes de qualquer host da rede 192.168.0.0/24

sairo com o IP 200.200.200.200
178
NAT - Exemplos
Destination NAT e Source NAT (1:1) Apontando o IP 200.200.200.200 para o host interno
192.168.0.100
179
NAT - Exemplos
Redirecionamento de Portas: Fazendo com que tudo que chegue na porta 5100 v para
o servidor WEB que est na mquina interna 192.168.0.100 e tudo que chegar na porta 5200
v para a mquina 192.168.0.200
180
NAT - Exemplos
NAT 1:1 com netmap: Apontando a rede interna 192.168.0.0/24 para a rede pblica
200.200.200.200/24
181
NAT Helpers
Hosts em uma rede nateada no possuem conectividade fim-a-fim

verdadeira. Por isso alguns protocolos podem no trabalhar
satisfatriamente em alguns cenrios. Servios que requerem a
iniciao de conexes TCP de for a da rede, bem como protocolos
stateless como o UDP por exemplo, podem no funcionar.
Para contornar esses problemas, a implementao de NAT no
Mikrotik prev alguns NAT helpers que tem a funo de auxiliar
nesses servios.
Redirecionamento e Mascaramento
So formas especiais de de dstnat e srcnat respectivamente, onde
no se especifica para onde vai o pacote (to-address). Quando um
pacote nateado como dst-nat, no importa se a ao nat ou
redirect que o IP de destino automticamente modificado.
182
Address Lists
Address Lists permitem que o usurio crie listas de

endereos IP agrupados entre si. Estes podem ser
utilizados pelo filtro do Firewall, Mangle e NAT.
Os registros de Address Lists podem ser atualizados
dinamicamente via action=add-src-to-address-list ou
action=add-dst-to-address-list, opes encontradas
em NAT, Mangle ou Filter.
No Winbox possvel editar o nome da lista,
simplesmente digitando-o
183
Address Lists - Exemplo

Penalizar o usurio que tentar
dar um Telnet no Roteador.
Fazer com que esse usurio
no faa mais nada.
- cria-se as listas no Address
list com o IP e da-se um nome
para a lista ( soh_Telnet )
- marca-se no mangle no canal

prerouting o protocolo TCP e
porta 23
184
Address Lists - Exemplo

- Ainda no Mangle, adiciona-se
a ao add-source ao address
list chamado soh_telnet
- Nas regras de filtro, no canal

input pega-se os pacotes que
esto na lista soh_telnet e
escolhe-se a ao drop.
185
Knock.exe 192.168.0.2 1234:tcp 4321:tcp
186
Knock.exe 192.168.0.2 1234:tcp 4321:tcp
/ip firewall rule

add chain=input dst-port=1234 protocol=tcp action=add-src-to-address-list
address-list=temp address-list-timeout=15s
add chain=forward dst-port=4321 protocol=tcp src-address-list=temp
action=add-src-to-address-list address-list=liberado address-listtimeout=15m
187
Liberando o acesso para quem estiver na lista e negando

para o resto
188
FIREWALL MANGLE
189
Firewall do Mikrotik Mangle
A Facilidade Mangle apresentada no RouterOS do Mikrotik permite introduzir marcas

em conexes e em pacotes IP em funo de comportamentos especficos.
As marcas introduzidas pelo Mangle so utilizadas em processamento futuro e delas
fazem uso ferramentas como o controle de banda, ferramentas de QoS e NAT. Elas
existem porm somente dentro do roteador, no sendo transmitidas para for a.
possvel porm com o Mangle alterar determinados campos no cabealho IP,
como o ToS ( type of service ) e campos de TTL ( Time to live )
190
Estrutura do Mangle
As regras de Mangle so organizadas em canais e obedecem as mesmas regras
gerais das regras de filtros, quanto a sintaxe.
possvel tambm criar canais pelo usurio
H 5 canais padro:
Prerouting: marca antes da fila Global-in
Postrouting: marca antes da fila Global-out
Input: marca antes do filtro de Input
Output: marca antes do filtro Output
Forward: marca antes do filtro Forward
191
Diagrama do Mangle
Mangle
Forward
Mangle
Deciso de
Deciso de
Mangle
Prerouting
Roteamento
Roteamento
Postrouting
Interface de
Mangle
Mangle
entrada
Input
Input
Processo Local
Processo Local
IN
OUT
Interface de
Sada
192
Aoes do Mangle
As opes de marcao incluem:
mark-connection apenas o primeiro pacote.
mark-packet marca um fluxo (todos os pacotes)
mark-routing marca pacotes para polticas de
roteamento
193
Marcando Conexes
Use mark-connection para identificar um ou um grupo de conexes com uma
marca especfica de conexo.
Marcas de conexo so armazenadas na tabela de connection tracking.
S pode haver uma marca de conexo para uma conexo.
A facilidade Connection Tracking ajuda a associar cada pacote a uma conexo
especfica.
194
Marcando Pacotes
Pacotes podem ser marcados:
Indiretamente, usando a facilidade de connection tracking, com
base em marcas de conexo previamente criaddas ( mais rpido e
mais eficiente )
Diretamente, sem o connection tracking no necessrio marcas
de conexo e o roteador ir comparar cada pacote com determinadas
condies.
195
Estrutura de Firewall no Mikrotik
196
Fluxo de pacotes no Firewall
197
Mangle Exemplo de marcao

Marcando a conexo P2P
[admin@MikroTik] ip firewall mangle> print

Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward p2p=all-p2p action=mark-connection
new-connection-mark=marca_da_conexao passthrough=yes
198
Mangle Exemplo de marcao

Marcando os pacotes P2P
[admin@MikroTik] ip firewall mangle> print

Flags: X - disabled, I - invalid, D - dynamic
0 chain=forward p2p=all-p2p action=mark-connection new-connectionmark=conexao_p2p passthrough=yes
1 chain=forward connection-mark=conexao_p2p action=mark-packet newpacket-mark=pacote_p2p passthrough=no
199
Mangle
Exemplos
Queremos dar um tratamento diferenciado a vrios tipos de fluxos e
Precisamos marcar:
Fluxo de Navegao http e https
FTP
Email
MSN
ICMP
P2P
O que no foi marcado acima

200
Dvidas ??
201
QoS
&
Controle de Banda
202
Qualidade de Servio
Normalmente a Internet trabalha com a filosofia do melhor esforo: cada
usurio compartilha largura de banda com outros e, portanto, a transmisso
de seus dados concorre com as transmisses dos demais usurios.
Os dados empacotados so encaminhados da melhor forma possvel,
conforme as rotas e banda disponveis. Quando h congestionamento, os
pacotes so descartados sem distino. No h garantia de que o servio
ser realizado com sucesso.
Entretanto, aplicaes como voz sobre IP e videoconferncia necessitam
de tais garantias. Durante a transmisso podem existir inmeras coisas aos
pacotes enquanto circulam entre pontos, que resultam nos seguintes
problemas, do ponto de vista emissor/receptor:
pacotes descartados
pacotes com atraso
203
Qualidade de Servio
cont.
pacotes descartados (dropped packets) - os roteadores podem recusarse a entregar alguns pacotes (drop) se estes chegarem quando os
buffers se encontram preenchidos. Estes podem ser descartados todos,
ou apenas alguns, dependendo do estado da rede, e no existe forma de
determinar quais so prioritrios. As aplicaes a receber sero ento
responsveis por pedir a retransmisso, o que resulta frequentemente
em engasgos" na transmisso;
atraso (delay) - pode decorrer muito tempo at um pacote atingir o seu
destino, j que este mantido em longas filas, ou segue um caminho
alternativo (menos direto) para evitar congestionamento da rede. No
entanto a transmisso tambm pode ocorrer muito rapidamente, e no
existe forma de determinar perante qual das situaes nos encontramos;
204
Qualidade de Servio
Qualidade de Servio (QoS) significa que o roteador deve priorizar e controlar o trfego
na rede. Diferentemente da limitao ou controle de banda o QoS tem a misso de
racionalizar os recursos da rede, balanceando o fluxo de dados com a melhor
velocidade possvel, evitando o monoplio do canal.
Os mecanismos para prover QoS do Mikrotik so:
limitar banda para certos IPs, subredes, protocolos, portas e outros parametros
limitar trfego peer to peer
priorizar certos tipos de fluxos de dados em relao a outros
utilizar bursts para melhorar o desempenho de acesso WEB
aplicar filas em intervalos de tempo fixos
compartilhar a banda disponvel entre os usurios de forma ponderada e
dependendo da carga do canal
utilizao de WMM Wireless Multimedia
205
Qualidade de Servio
cont.
Para ordenar e controlar o fluxo de dados, aplicada uma poltica de enfileiramento
aos pacotes que estejam deixando o Roteador, ou seja,
As filas so aplicadas na interface onde o fluxo est saindo !
A limitao de banda feita mediante o descarte de pacotes. No caso de protocolo
TCP, os pacotes descartados sero reenviados, de forma que no h com que se
preocupar com relao perda de dados. O mesmo no vale para UDP.
206
Qualidade de Servio
Interfaces Virtuais
global-in representa todas as interfaces de entrada em geral
(INGRESS queue). As filas atreladas global-in recebem todo o trfego
entrante no roteador, antes da filtragem de pacotes.
global-out representa todas as interfaces de sada em geral
(EGRESS queue). As filas atreladas global-out recebem todo o trfego
que sai do roteador.
global-total representa uma interface virtual atravs da qual passa
todo o fluxo de dados. Quando se associa uma poltica de filas globaltotal, a limitao feita em ambas as direes.
Por exemplo se configurarmos um total-max-limit de 256kbps, teremos um
total de upload+download limitado em 256 kbps, podendo haver assimetria.
207
Qualidade de Servio
cont.
Os principais termos utilizados em QoS so:
queuing discipline (qdisc) disciplina de enfileiramento um algortimo que
mantm e controla uma fila de pacotes. Ela especifica a ordem dos pacotes que saem (
podendo inclusive reordena-los ) e detremina quais pacotes sero descartados.
Limit At ou CIR (Committed Information Rate) Taxa de dados garantida a
velocidade mnima que se fornece a um circuito.
Max Limit ou MIR (Maximal Information Rate) Banda mxima que ser
fornecida, ou seja limite a partir do qual os pacotes sero descartados
Priority Prioridade a ordem de importancia que o trfego ser processado.
Pode-se determinar qual tipo de trfego ser processado primeiro
208
Interfaces Virtuais
Roteador
Global-in
n interfaces
de entrada
Global-total
RoteadorR
Proc.
Global-out
m interfaces
de sada
Interno
209
Interfaces Virtuais e o Mangle

Mangle
Forward
Global In
(+Global Total)
Deciso de
Roteamento
Deciso de
Roteamento
Mangle
Postrouting
Mangle
Prerouting
Mangle
Input
Mangle
Input
Global-out
(+Global-Total)
Interface de
entrada
Processo Local
IN
Processo Local
OUT
Interface de
Sada
210
Tipos de Filas
Antes de enviar os pacotes por uma interface, eles so processados por uma disciplina
de filas (queue types). Por padro as disciplinas de filas so colocadas sob /queue
interface para cada interface fsica (este padro no mantido usando interfaces
virtuais).
Uma vz adicionada uma fila (em /queue tree ou /queue simple) para uma interface
fsica, a fila padro da interface (interface default queue), definida em /queue
interface, ser ignorada para a mesma. Isso significa que quando um pacote no
encontra (match) qualquer filtro, ele enviado atravs da interface com prioridade
mxima.
211
Tipos de Filas
Disciplinas Scheduler e Shaper
As disciplinas de filas so utilizadas para (re)enfileirar e (re)organizar
pacotes na medida em que os mesmos chegam na interface. As
disciplinas de filas so classificadas pela sua influncia no fluxo de
pacotes da seguinte forma:
schedulers apenas (re)ordenam pacotes de acordo com um
determinado algortimo e descartam aqueles que se enquadram na
disciplina. Disciplinas Scheduler so:
PFIFO, BFIFO, SFQ, PCQ, RED
shapers tambm fazem a limitao. So:
PCQ e HTB
212
Tipos de Filas
PFIFO e BFIFO
Estas disciplinas de filas so baseadas no algortimo FIFO (First-In First-Out), ou seja, o
primeiro que entra o primeiro que sai.
A diferena entre PFIFO e BFIFO que, um medido em pacotes e o outro em bytes.
Existe apenas um parmetro chamado pfifo-limit (bfifo-limit) que determina a quantidade
de dados uma fila FIFO pode conter. Todo pacote que no puder ser enfileirado (se a fila
est cheia) ser descartado. Tamanhos grandes de fila podero aumentar a latncia, em
compensao prov uma melhor utilizao do canal.
Recomenda-se o uso desse tipo de fila em links no congestionados
213
Tipos de Filas
RED
RED- Random Early Detection Deteco aleatria antecipada um mecanismo de
enfileiramento que tenta evitar o congestionamento do link controlando o tamanho mdio da
fila .
Quando o tamanho mdio da fila atinge o valor configurado em red-min-threshold, o RED
aleatriamente escolhe um pacote para descartar. A probabilidade do nmero de pacotes que
sero descartados cresce na medida em que a mdia do tamanho da fila tambm cresce. Se o
tamanho mdio da fila atinge red-max-threshold, os pacotes so descartados com a
probabilidade mxima. Entretanto existem casos em que o tamanho real da fila (no a mdia)
muito maior que red-max-threshold, ento todos os pacotes que excederem red-limit sero
descartados.
RED indicado em links congestionados com altas taxas de dados. Como muito
rpido funciona bem com TCP.
214
SFQ
Tipos de Filas
Stochastic Fairness Queuing (SFQ) Enfileiramento Estocstico com justia uma

simples aplicao dos algortmos da famlia fair queuing.
menos precisos do que outros, mas isso tambm exige menos clculos apesar de
quase garantirem a igualdade entre as filas.
No limita trfego. O objetivo equalizar os fluxos de trfego (sesses TCP e streaming
UDP) quando o link (interface) est completamente cheio. Se o link no est cheio, ento
no haver fila e, portanto, qualquer efeito, a no ser quando combinado com outras
disciplinas (qdisc).
A justia do SFQ assegurado por algortimos de hashing e round-robin. Algortimos de
hashing dividem o trfego da sesso em um nmero limitado de sub-filas. Depois de
atingido o tempo em segundos configurado em sfq-perturb o algortimo de hashing muda
e divide a sesso em outras subfilas. O algortmo round-robin (re)enfileira essas sub-filas
conforme configurado em pcq-allot bytes.
215
Tipos de Filas
SFQ
Por conta do algortmo de hashing, vrias sesses poderiam acabar em um mesmo
segmento, o que iria reduzir metade a oportunidade de cada sesso enviar um pacote,
assim, reduzir para metade a velocidade disponvel. Para evitar que essa situao se
torne perceptvel, SFQ muda seu algoritmo hashing muitas vezes de maneira que duas
sesses colidindo iro ocorrer apenas em um pequeno nmero de segundos.
recomendado o uso de SFQ em links congestionados para garantir que as
conexes no degradem. SFQ especialmente indicado em conexes sem fio.
216
Tipos de Filas
PCQ
O PCQ - Per Connection Queuing Enfileiramento por conexo foi criado para resolver
algumas imperfeies do SFQ. o nico tipo de enfileiramento de baixo nvel que pode
fazer limitao sendo uma melhoria do SFQ, sem a natureza estocstica. PCQ tambm cria
sub-filas considerando o parametro pcq-classifier. Cada sub-fila tem um taxa de
transmisso estabelecida em pcq-rate e o tamanho do pacote mximo igual a pcq-limit. O
tamanho total de uma fila a PCQ fica limitado ao que for configurado em pcq-total-limit.
O exemplo abaixo mostra o uso do PCQ com pacotes classificados pelo endereo de origem
217
Tipos de Filas
PCQ
Se os pacotes so classificados pelo endereo de origem, ento todos os pacotes com
diferentes endereos sero agrupados em sub-filas diferentes. Nesse caso possvel fazer
a limitao ou equalizao para cada sub-fila com o parmetro pcq-rate. Talvez a parte
mais significante decidir em qual interface utilizar esse tipo de disciplina. Se utilizarmos na
interface local, todo trfego da interface pblica ser agrupado pelo endereo de origem (e
provavelmente no o que se deseja), mas ser for empregada na interface pblica todo o
trfego de nossos clientes ser agrupado pelo endereo de origem, o que torna fcil
equalizar ou limitar o upload dos clientes. O mesmo controle pode ser feito para downloads,
mas, nesse caso ser utilizado o classificador dst-address e configurado na interface local.
PCQ uma boa ferramenta para controlar ou equalizar a banda entre diversos
usurios com pouco trabalho de administrao.
218
QoS - HTB
HTB (Hierarchical Token Bucket) uma disciplina de enfileiramento hierrquica que usual
para aplicar diferentes polticas para diferentes tipos de trfego. Geralmente possvel
apenas se fazer uma fila para uma interface, mas no Mikrotik as filas so associadas ao HTB
e assim podem herdar determinadas propriedades de uma fila pai. Como exemplo,
poderamos configurar um total mximo de banda para um grupo de trabalho e ento
distribuir essa banda entre os seus membros:
Explicao sucinta
- No nvel 1 a classe pai est ligada as
classes filhas.
- Nas classes filhas no nvel 0, os pacotes
recebem um tratamento determinado pelo
filtro (endereo IP, porta, marcas do
mangle, etc) e pela disciplina de fila a ela
associada( fifo, bfifo, etc.)
- De acordo com esse tratamento, os
pacotes so classificados, reordenados e
se for o caso alguns descartados.
- Se as classes filhas esto dentro do seu
219
limit-at podem trafegar, independente
da
classe pai, caso contrrio ficam submetidas
a disponibilidade desta.
QoS - HTB
Termos do HTB:
Filter - um processo que classifica pacotes. Os filtros so responsveis pela
classificao de pacotes para que eles sejam colocados nas correspondentes qdiscs.
Todos os filtros so aplicados no fila raiz HTB e classificados diretamente no qdiscs,
sem atravessar a rvore HTB. Se um pacote no est classificado em nenhuma das
qdiscs, enviado para a interface diretamente, atravessando o HTB, por isso
nenhuma regra HTB aplicada aos pacotes (isso significa prioridade maior que
qualquer pacote do fluxo gerido pelo HTB) .
Level - posio de uma classe na hierarquia.
Class - algoritmo de limitao no fluxo de trfego para uma determinada taxa. Ela
no guarda quaisquer pacotes (esta funo s pode ser realizada por uma fila). Uma
classe pode conter uma ou mais subclasses (inner class) ou apenas uma e um qdisc
(leaf class).
220
QoS - HTB
Termos do HTB:
Inner class - uma classe que tenha uma ou mais classes filhas ligadas a ela.
No armazenam quaisquer pacotes, ento qdiscs no podem ser associados a
elas (qdisc e configuraes de filtros so ignoradas, embora possam ser exibidos
na configurao do RouterOS). S fazem limitao de trfego. Definio de
prioridade tambm ignorada.
Leaf class - uma classe que tem uma classe pai, mas ainda no tem nenhuma
classe filha. Leaf class esto sempre localizadas no level 0 da hierarquia.
Self feed - uma sada (fora da rvore HTB para a interface) para os pacotes de
todas as classes ativas no seu nvel de hierarquia. Existe uma self feed por level,
cada uma constituda por 8 self slots, que representam as prioridades.
221
QoS - HTB
Termos do HTB:
Auto slot - um elemento de uma self feed que corresponde a cada prioridade.
Existe um auto slot por nvel. Todas as classes ativas no mesmo nvel, com a
mesma prioridade, so anexados a um auto slot que enviam os pacotes para fora.
Active class (para um nvel particular) - uma class que est associada a um auto
slot em determinado nvel.
Inner feed - semelhante a uma self feed, constitudos de inner self slots,
presentes em cada classe interior. Existe um inner feed por inner class.
Inner feed slot - similar auto slot. Cada inner feed constitudo de inner slots
os quais representam uma prioridade.
222
QoS - HTB
Cada class tem um pai e pode ter uma
ou mais filhas. As que no tm filhas, so
colocados no level 0, onde as filas so
mantidas, e so chamadas de leaf
class.
Cada classe na hierarquia pode priorizar e dar forma ao trfego (shaping).

- Para shaping os parmetros so:
limit-at: banda garantida (CIR)
max-limit: banda mxima permitida (MIR)
- Para priorizar:
- priority: de 1 a 8, sendo 1 a mxima prioridade
223
Cada Classe HTB pode estar em um dos 3 estados,

dependendo da banda que est consumindo:
QoS - HTB
verde - a classe est com a velocidade igual ou melhor que

limit-at. Nesse estado a classe j est associada a seu slot de
saida com sua prioridade correspondente. permitido classe
satisfazer seu prprio limit-at independetemente das limitaes
da classe pai. Por exemplo se a classe tem limit-at=512kbps e
sua classe pai tem max-limit-at=128kbps, a sua velocidade
poder chegar at 512kbps.
amarela nesse caso a classe est com o banda real maior que limit-at e igual ou menor
que max-limit. Nesse caso a classe pede classe pai para usar mais banda, que permitir o
uso se dispuser de banda. Porm se a classe pai tiver outra classe pai e estiver no estado
verde, permite o uso. Se estiver em amarelo pede sua classe pai superior (av da
primeira) e assim por diante.
vermelha estando em vermelha, ou seja quando foi excedido o max-limit a classe no
pode pedir banda sua classe pai.
224
Filas Simples
- As filas simples (simple queue) so a maneira mais fcil de se limitar a banda de

endereos IPs distintos ou sub-redes. Elas permitem configurar as velocidades de upload
e download com apenas uma entrada.
- Tambm podem ser usadas para configurao de aplicaes de QoS.
- Os filtros de filas simples so executados completamente pelo HTB nas interfaces
global-out (queue direct) e global-in (queue reverse)
- Os filtros enxergam as direes dos pacotes IP da mesma forma que apareceriam no
Firewall.
- Hotspot, DHCP e PPP criam dinamicamente filas simples.
225
Filas Simples
- As principais propriedades configurveis de uma fila simples so:

Limite por direo IP de origem ou destino
Interface do cliente
tipo de fila
configuraes de limit-at, max-limit, priority e burst para download e upload
Horrio
226
Como funciona o Burst
Bursts so usados para permitir altas taxas de dados por um curto perodo de tempo.
Os parametros que controlam o Burst so:
burst-limit: limite mximo que alcanar
burst-time: tempo que durar o burst
burst-threshold: patamar onde comea a limitar
max-limit: MIR
227
Como funciona o Burst
Exemplo
max-limit=256kbps
burst-time=8s
burst-threshold=192kbps
burst-limit=512kbps
- dado ao cliente inicialmente a banda burst-limit=512 kbps. O algortimo calcula a taxa
mdia de consumo de banda durante o burst-time de 8 segundos.
- com 1 segundo a taxa mdia (0+0+0+0+0+0+0+512)/8 = 64kbps (abaixo do threshold)
- com 2 segundos j de (0+0+0+0+0+0+512+512)/8 = 128 kbs (abaixo do threshold)
- com 3 segundos (0+0+0+0+0+512+512+512)/8 = 192 ( o ponto de inflexo onde acaba o
burst)
A partir do momento que foi atingido o ponto de inflexo o Burst desabilitado e a taxa
mxima do cliente passa a ser o max-limit
228
Utilizao de PCQ
PCQ Per Connection Queue Enfileiramento por conexo

- PCQ utilizado para equalizar a cada usurio em particular ou cada conexo em
particular
- Para utilizar PCQ, um novo tipo de fila deve ser adicionado com o argumento
kind=pcq
- Devem ainda ser escolhidos os parmetros:
pcq-classifier
pcq-rate
229
Utilizao de PCQ
- Com o rate configurado como zero, as

subqueues no so limitadas, ou seja elas
podero utilizar o mximo de largura de
banda disponvel em max-limit
- Se configurarmos um rate para PCQ a
subqueues sero limitadas nesse rate, at o
total de max-limit
230
Utilizao de PCQ
- Nesse caso, como o rate da fila 128k, no

existe limit-at e tem um total de 512k, os clientes
recebero a banda da seguinte forma:
512k
128k
Banda total
2 clientes
128
64k
4 clientes
8 clientes
231
Utilizao de PCQ
- Nesse caso, como o rate da fila 0, no existe

limit-at e tem um total de 512k, os clientes
recebero a banda da seguinte forma:
256k
512k
512k
256k
64k
Banda total
1 cliente
2 clientes
8 clientes
232
rvores de Filas
- Trabalhar com rvores de filas uma maneira mais elaborada de administrar o
trfego. Com elas possvel construir sob medida uma hierarquia de classes.
- Os filtros de rvores de filas so aplicados na interface especificada. Os filtros so
apenas marcas que o Firewall faz nos fluxos de pacotes na opo Mangle. Os
filtros enxergam os pacotes na ordem em que eles chegam ao roteador.
- Os filtros nas interfaces global-in e global-out so executados antes dos filtros
simples. Note-se que as filas simples esto separadas em 2 partes: direct em
global-out e reverse em global-in.
- Normalmente utilizamos as interfaces reais WAN e LAN, uma vez que usamos a
queue tree para configurao de servio QoS.
233
rvores de Filas
- As rvores de filas so configuradas em
/queue tree
- Dentre as propriedades configurveis se
incluem;
Escolher uma marca de trfego
(feita no Mangle)
parent-class ou interface de
sada ( incluindo as interfaces virtuais global-in
e global-out )
Tipo de Fila
configuraes de limit-at, maxlimit, priority e burst
234
Dvidas ??
235
Tneis
&
VPNs
com Mikrotik
236
VPNs
Uma Rede Particular Virtual (Virtual Private Network - VPN) uma rede de
comunicaes privada normalmente utilizada por uma empresa ou um conjunto de
empresas e/ou instituies, construda em cima de uma rede de comunicaes pblica
(como por exemplo, a Internet). O trfego de dados levado pela rede pblica
utilizando protocolos padro, no necessariamente seguros.
VPNs seguras usam protocolos de criptografia por tunelamento que fornecem a
confidencialidade, autenticao e integridade necessrias para garantir a privacidade
das comunicaes requeridas. Quando adequadamente implementados, estes
protocolos podem assegurar comunicaes seguras atravs de redes inseguras.
237
VPNs
As principais caractersticas das VPNs so:
Promover acesso seguro sobre meios fsicos pblicos como a Internet por
exemplo.
Promover acesso seguro sobre linhas dedicadas, wireless, etc.
Promover acesso seguro a servios em ambiente corporativo de correio,
impressoras, etc.
Fazer com que o usurio, na prtica, se torne parte da rede corporativa
remota recebendo IPs desta e perfis de segurana definidos.
A base da formao das VPNs o tunelamento entre dois pontos, porm
tunelamento no sinnimo de VPN.
238
Tunelamento
A definio de Tunnelling a capacidade de criar tneis entre duas mquinas por
onde certas informaes passam.
O Mikrotik implementa diversos tipos de Tunelamento, podendo ser tanto servidor
como cliente desse protocolos..
- PPP ( Point to Point Protocol )
- PPPoE ( Point to Point Protocol over Ethernet )
- PPtP ( Point to Point Tunneling Protocol )
- L2TP ( Layer 2 Tunneling Protocol )
- IPSec ( IP Security )
- Tneis IPIP
- Tneis EoIP
239
Algumas definies comuns

para os servios PPP
MTU/MRU: unidades mximas de transmisso/recepo em bytes. Normalmente o
padro ethernet permite 1500 bytes. Em servios PPP que precisam encapsular os
pacotes, deve se definir valores menores para evitar a fragmentao.
Keepalive Timeout: define o perodo de tempo em segundos aps o qual o roteador
comea a mandar pacotes de keepalive a cada segundo. Se nenhuma resposta de
keepalive recebida pelo perodo de tempo de 2 vezes o keep-alive-timeout o cliente
considerado desconectado.
Authentication:
Pap: usurio/senha passa em texto plano, sem criptografia
Chap: usurio/senha com criptografia
mschap1: verso chap da Microsoft conf. RFC 2433
mschap2: verso chap da Microsoft conf. RFC 2759
240
Algumas definies comuns

para os servios PPP
PMTUD: Se durante uma comunicao alguma estao enviar pacotes IP maiores do

que a rede pode suportar, ou seja, maiores que o menor MTU (Maximum Transmission
Unit) do caminho, ento ser necessrio que haja algum mecanismo para avisar que
esta estao dever diminuir o tamanho dos pacotes para que a comunicao ocorra
com sucesso. O processo interativo de envio de pacotes em determinados tamanhos, a
resposta dos roteadores intermedirios (possivelmente com pacotes do tipo ICMP
Packet To Big) e a adequao do tamanho dos pacotes posteriores chamada Path
MTU Discovery ou PMTUD. Normalmente esta funcionalidade est presente em todos
os roteadores comerciais e sistemas Unix Like, assim como no Mikrotik ROS.
MRRU: tamanho mximo do pacote, em bytes, que poder ser recebido no link. Se um
pacote ultrapassa o valor definido ele ser divido em pacotes menores, permitindo o
melhor dimensionamento do tnel. Especificar MRRU significa permitir MP (Multilink
PPP) sobre um tnel simples. Essa configurao til para o protocolo PMTU
Discovery superar falhas. O MP deve ser ativado em ambos os lados (cliente e
servidor).
241
Change MSS (Mximum Segment Size Field, ou seja o tamanho mximo do segmento de dados.).
Um pacote com MSS que ultrapassa o MSS dos roteadores por onde um tnel est estabelecido
deve ser fragmentado antes de envi-lo. Em alguns casos o PMTUD est quebrado ou os
roteadores no conseguem trocar as informaes de maneira eficiente e causam uma srie de
problemas com transferncia HTTP, FTP e correio eletrnico, alm de mensageiros instantneos.
Neste caso o Mikrotik ROS proporciona ferramentas onde possvel intervir e configurar uma
diminuio do MSS dos prximos pacotes atravs do tnel visando resolver o problema.
242
Servidor ou Cliente PPP

PPP (point-to-point protocol) um protocolo desenvolvido para permitir acesso
autenticado e transmisso de pacotes de diversos protocolos, originalmente em
conexes de ponto a ponto (como uma conexo serial). O PPP encapsula o protocolo
TCP/IP, no acesso discado internet.
O Mikrotik pode ser configurado para ser um servidor PPP, com a opo PPP Server.
Clientes remotos (dial up por exemplo) podem ser autenticados no prprio Mikrotik,
utilizando a base de dados local em /user ou atravs de um servidor Radius
especificado em /ip ppp
Tambm possvel configur-lo para discar para um servidor dial up sob demanda
tornando-o um cliente Dial Up
Para ambos os casos necessrio uma interface serial conectada a um modem.
243
PPP / Interfaces / PPP Server / General
Name: Nome do perfil

Port: porta serial
Modem Init: string de inicializao a ser passada para um modem
Null Modem: no passa strings
244
PPP / Interfaces / PPP Server / Dial-In
Profile: escolhe o perfil de segurana definido em /ppp profiles

Ring Count: nmero de toques antes do atendimento
245
PPP Client
O Mikrotik tambm pode ser um cliente Dial-Up, devendo serem configurados os

parmetros:
Name: nome do perfil
Porta
String de inicializao do modem
Null modem: sem string de inicializao
246
Configurao do PPP Client
Configurao do Dial-out:
Phone: nmero a ser discado
Dial Command: string a ser enviada ao modem local
User / Password: usurio e senha no servidor remoto
Profile: perfil de segurana definido em /ppp profiles
Dial On Demand: discar sempre que algum aplicativo tentar usar sada
Add Default Route: usa a rota default configurada em / ip route
Use Peer DNS: usa os servidores de DNS definidos no servidor remoto.
247
Servidor ou Cliente PPPoE

PPPoE (point-to-point protocol over Ethernet) uma adaptao do PPP para
funcionar em redes Ethernet. Pelo fato da rede Ethernet no ser ponto a ponto, o
cabealho PPPoE inclui informaes sobre o remetente e destinatrio, desperdiando
mais banda (~2% a mais).
- Muito usado para autenticao de clientes com Base em Login e senha. O PPPoE
estabelece a sesso e realiza a autenticao com o provedor de acesso a Internet.
- O cliente no tem IP configurado, o qual atribuido pelo PPPoE server
(concentrador), normalmente operando em conjunto com um servidor Radius. No
Mikrotik ROS, no obrigatrio o uso de servidor Radius, pois o mesmo permite a
criao e gerenciamento de usurios e senhas em uma tabela local (/ppp secrets).
- PPPoE, por padro, no criptografado (pode-se lanar mo do mtodo MPPE,
desde que o cliente suporte este mtodo)
248
Servidor ou Cliente PPPoE
O cliente descobre o servidor atravs do protocolo PPPoE discover, que

tem o nome do servio a ser utilizado.
Precisa estar no mesmo barramento fsico ou os dispositivos passarem para

frente as requisies PPPoE (pppoe relay).
No Mikrotik ROS o valor padro do Keep Alive Timeout 10, e funcionar

bem na maioria dos casos. Se configurarmos para 0, o servidor no
desconectar os clientes at que os mesmos solicitem ou o servidor for
reiniciado.
249
Configurao do Servidor PPPoE

1 Crie um pool de IPs para o PPPoE
/ip pool add name=pool-pppoe
ranges=10.1.1.1-10.1.1.254
2 Adicione um Perfil de PPPoE onde:

Local address = endereo IP do concentrador
Remote address = pool do pppoe
/ppp profile add name=perfil-pppoe" local-address=192.168.1.1 remote-address=pool-pppoe
250

3 Adicione um usurio e senha
/ppp secret add name=usuario
password=123456
service=concentrador-pppoe
profile=perfil-pppoe.
Caso queira verificar o MAC-Address,
adicione-o em Caller ID. Esta opo no
obrigatria, mas um parmetro a
mais que garante segurana.
251

4 Adicione o PPPoE Server
Service Name = nome que os clientes vo
procurar (pppoe-discovery).
/interface pppoe-server server add
authentication=chap,mschap1,mschap2
default-profile=perfil-pppoe disabled=no
interface=wlan1 keepalive-timeout=10 maxmru=1480 max-mtu= 1480 max-sessions=50
mrru=512 one-session-per-host=yes servicename=concentrador-pppoe
252
Mais sobre Perfis

Bridge: bridge para associar ao perfil.
Incoming/Outgoing Filter: nome do canal do Firewall
para pacotes entrando/saindo.
Address List: lista de endereos IPs para associar ao
perfil.
DNS Server: configurao dos servidores DNS a
atribuir nos clientes. Pode se configurar mais de um
endereo IP.
Use Compression/Encryption/Change TCPMSS:
caso estejam default associam ao valor que est
configurado no perfil DEFAULT-PROFILE.
253
Mais sobre Perfis

Session Timeout: a durao mxima de uma
sesso pppoe.
Idle Timeout: o perodo de ociosidade na
transmisso de uma sesso. Se no houver trfego
IP dentro do perodo configurado a sesso
terminada.
Rate Limit: limitao da velocidade na forma rxrate[/tx-rate] rx o upload do cliente
OBS: Pode ser usada a sintaxe: rx-rate[/tx-rate] [rx-burstrate[/tx-burst-rate] [rx-burst-threshold[/tx-burstthreshold] [rx-burst-time[/tx-burst-time] [priority] [rxrate-min[/tx-rate-min]]]].
Only One: permite apenas uma sesso para o
254
mesmo usurio.
Mais sobre o user Database

Service: Especifica o servico disponvel para esse
cliente em particular.
Caller ID: MAC address do cliente
Local Address/Remote Address: endereo IP
local(servidor) e remote(cliente) que podero ser
atribudos a um cliente em particular.
Limit Bytes In/Out: Quantidades de Bytes que o
cliente pode trafegar por sesso PPPoE
Routes: Rotas que so criadas no lado servidor para
esse cliente especfico.Vrias rotas podem ser
adicionadas separadas por vrgula.
255
Detalhes adicionais do PPPoE Server

O Concentrador PPPoE do Mikrotik suporta mltiplos servidores
para cada interface com diferentes nomes de servio. Alm do
nome do servio, o nome do Concentrador de Acesso pode ser
usado pelos clientes para identificar o acesso em que deve se
registrar.
Nome do Concentrador = Identidade do roteador (/system
identity)
O valor de MTU/MRU inicialmente recomendado para o PPPoE
de 1480 bytes. Em uma rede sem fio, o servidor PPPoE pode ser
configurado no Access Point. Para clientes RouterOS, a interface de
rdio pode ser configurada com a MTU em 1600 bytes e a MTU da
interface PPPoE em 1500 bytes. Isto otimiza a transmisso de
pacotes e evita problemas associados com MTU menor que 1500
bytes. At o momento no possumos nenhuma maneira de alterar
a MTU da interface sem fio em clientes MS Windows.
One session per Host: permite apenas uma sesso por host
(MAC address)
Max Sessions: nmero mximo de sesses simultneas que o
Concentrador suportar.
256
Segurana no PPPoE
Para assegurar um servidor PPPoE
pode-se utilizar Filtros de Bridge,
configurando a entrada ou repasse
(depende da configurao do Mikrotik
ROS) os protocolos pppoe-discovery e
pppoe-session, e descartando todos os
demais.
Mesmo que haja somente uma
interface, ainda assim possvel utilizar
os Fitros de Bridge, bastando para tal,
criar um bridge e associar em Ports
apenas esta interface. Em seguida
alterar no PPPoE Server a interface que
o mesmo escuta.
257
Configurao do PPPoE Client
AC Name: nome do Concentrador. Deixando em branco conecta com qualquer um.
Dial on Demand: disca automaticamente sempre que gerado um trfego de sada.
Add default route: adiciona uma rota padro (no usa a do servidor).
Use Peer DNS: Usa o DNS configurado no Concentrador.
258
Segurana no PPPoE
Para assegurar um servidor PPPoE
pode-se utilizar Filtros de Bridge,
deixando somente passar os protocolos
pppoe-discovery e pppoe-session, e
descartando todos os outros.
Mesmo que haja somente uma interface,
ainda assim possvel utilizar os Fitros
de Bridge.
259
Servidor ou Cliente PPtP

PPtP Point to Point Tunnel Protocol Protocolo de tunelamento ponto a ponto um
protocolo desenvolvido pela Microsoft que pode ou no ser criptografado. PPTP incorpora o
mtodo MPPE (Microsoft Point to Point Encryption), para fazer as conexes encriptadas
(MPPE 40bit RC4 e MPPE 128bit RC4 so suportados). O trfego PPTP utiliza a porta TCP
1723 e o protocolo IP GRE (Generic Routing Encapsulation), de acordo com a atribuio da
Internet Assigned Numbers Authority (IANA). PPTP pode ser usado com a maioria dos
firewalls e roteadores existentes. Conexes PPTP podem sofrer limitaes ou no
funcionar, em conexes atravs de NAT, tornando-se necessrio a habilitao de NAT
Helpers nos roteadores/firewalls que gerenciam a conexo. As principais aplicaes so:
- Formao de tneis seguros entre dois routers pela Internet
- Para unir de forma transparente Intranets ou LANs
- Para usurios remotos se logarem no ambiente corporativo da empresa de forma segura
mesmo em locais pblicos como Hotspots por exemplo.
260
Configurao do Servidor PPtP
1 Adicione um usurio
/ppp secret add caller-id="" comment="" disabled=no limitbytes-in=0 limit-bytes-out=0 name=pptp-cliente
password=123456 profile=default-encryption routes=""
service=pptp
No se esquea de
Configurar o Perfil
e um pool de IP.
2 Habilite o PPtP Server

/interface pptp-server server set
authentication=chap,mschap1,mschap2 defaultprofile=default-encryption enabled=yes keepalivetimeout=30 max-mru=1460 max-mtu=1460 mrru=disabled
261
Configurao do cliente PPtP
Adicionando pelo terminal :
/interface pptp-client add add-default-route=no

allow=chap,mschap1,mschap2 comment="" connectto=200.200.200.200 disabled=no max-mru=1460
max-mtu=1460 mrru=disabled name=pptp-out1
password=123456 profile=default-encryption
user=pptp-cliente
262
L2TP
L2TP Layer 2 Tunnel Protocol Protocolo de tunelamento de camada 2
L2TP um protocolo de tunelamento seguro para transportar trfego IP utilizando PPP. O protocolo
L2TP trabalha no layer 2 de forma criptografada ou no e permite enlaces entre dispositivos de
diferentes redes unidos por diferentes protocolos.
Como exemplo, um usurio conectado em um RAS de uma companhia telefonica pode se conectar ao
backbone de um provedor de acesso que lhe atribui banda e endereamento IP prprio.
O trfego L2TP utiliza protocolo UDP tanto para controle como para pacotes de dados. A porta UDP
1701 utilizada para o estabelecimento do link e o trfego em si utiliza qualquer porta UDP disponvel,
o que significa que L2TP pode ser usado com a maioria dos Firewalls e Routers, funcionando tambm
atravs de NAT.
As normas indicam que a maneira mais segura para encriptar os dados utilizando L2TP sobre IPSec
(mtodo padro para MS Windows).
263
Configurao do L2TP Server

1- Adicionar um usurio L2TP user:
/ppp secret add caller-id="" comment=""
disabled=no limit-bytes-in=0 limit-bytes-out=0
local-address=10.1.1.1 name=usuario-lt2p
password=123456 profile=default-encryption
remote-address=10.1.1.2 routes="" service=l2tp
( pode-se amarrar Ips de origem, bytes, etc )
2. Habilitar o servidor L2TP
/ interface l2tp-server server set enabled=yes
264
Configurao do L2TP Cliente
Configurar o Mikrotik como Cliente de um servidor L2TP

muito simples conforme mostram as telas ao lado.
Na linha de comando seria :
/interface l2tp-client add add-default-route=no
allow=chap,mschap1,mschap2 comment="" connect-to=
200.200.200.200 disabled=yes max-mru=1460 maxmtu=1460 mrru=disabled name=l2tp-out1
password=123456 profile=default-encryption user=usuariol2tp
265
Open VPN
O OpenVPN uma implementao livre da tecnologia VPN, com ele
podemos criar tneis ponto-a-ponto encriptados entre computadores.
Ele foi desenvolvido por James Yonan e publicado sob licena livre GNU
GPL.
Como funciona o OpenVPN ?
O OpenVPN permite autenticao por chaves compartilhadas/esttica, certificados ou
usurio/senha. Ele utiliza encriptao advinda da biblioteca OpenSSL e protocolos
conhecidos como SSLv3/TSLv1. Est disponvel para sistemas Solaris, Linux, OpenBSD,
FreeBSD, NetBSD, MAC OS X e at mesmo para sistemas proprietrios como o Windows
2000/XP e Mikrotik ROS. Dispe de vrios recursos de controle e segurana, no
baseado em WEB VPNs e no compatvel com IPSEC ou qualquer outro tipo de pacotes
VPN. Todo o Pacote do OpenVPN consiste em um binrio para conexes tanto para o
cliente e servidor, um arquivo de configuraes opcional, e uma ou mais chaves dependendo
da forma de autenticao escolhida.
OpenVPN funciona sobre os protocolos UDP (preferencial, e padro) ou TCP. Funciona
266 bem
atravs da maioria de servidores proxy (incluindo HTTP) e NAT, tornando-se uma boa opo
para uso atravs de firewall.
Open VPN
O Mikrotik RouterOS na verso 3.x suporta OpenVPN no modo servidor e cliente.
necessrio a instalao e ativao do pacote PPP. Existe uma limitao usando OpenVPN
no Mikrotik ROS: atualmente somente o protocolo TCP suportado. O protocolo UDP no
funciona.
OpenVPN trabalha com certificados SSL. Podemos criar estes certficados atravs do
servio http://cacert.org ou usar scripts prprios como easy-rsa, distribuidos em vrios
instaladores do OpenVPN. No Mikrotik devemos fazer o upload via ftp (certificado CA e
chave privada) e importar usando /certificate import.
Criando Certificados com CAcert.org
Realize o cadastro no CAcert.org. Faa o login e defina seu domnio (Domains > Add).
No Mikrotik RouterOS, abra o Terminal e crie uma requisio de certificado com o
comando:
267
/certificate create-certificate-request
Open VPN
Agora necessrio preencher algumas questes:
certificate request file name: certificate-request.pem
file name: private-key.pem
passphrase: ********
verify passphrase: ********
rsa key bits: 1024
country name: BR
state or province name: SP
268
Open VPN
Agora necessrio preencher algumas questes:
locality name: Sao Paulo
organization name: Mikrotik Brasil
organization unit name: Training
common name: host.mikrotikbrasil.com.br
email address: suporte@mikrotikbrasil.com.br
challenge password: <enter>
unstructured address: <enter>
269
Open VPN
Os campos com relevncia a serem informados so a Passphrase e Common Name, sendo
que os outros podero ser deixados em branco. Aps alguns segundos ser informado que
a Requisio de Certificado foi gerada.
echo: system,info,critical certificate request file certificate-request.pem and private key file privatekey.pem created
Copie o arquivo certificate-request.pem para seu computador e abra com algum editor de
textos simples (exceto bloco de notas). Acesse sua conta no CAcert.org e crie um novo
Certificado para Servidor (Server Certificates > New). Copie o contedo do arquivo
certificate-request.pem e cole na caixa "Paste Your CSR(Certificate Signing Request)
below...". Envie o formurio e aguarde a mensagem "Below is your Server Certificate" ser
exibida. Copie e cole as informaes usando um editor de textos simples (exceto bloco de
notas) e salve como certificate-response.pem. Faa o upload deste arquivo para o
Mikrotik ROS e importe usando o menu Certificates:
270
Configurao do servidor OVPN

1 - Crie um pool de IPs:
/ip pool
add name=pool-ovpn ranges=192.168.200.2-192.168.200.14
2 Crie um perfil para OVPN:

/ppp profile add change-tcp-mss=default comment="" localaddress=192.168.200.1 name=ovpn-profile only-one=default
remote-address=pool-ovpn use-compression=default useencryption=required use-vj-compression=default
3 Crie um usurio para OVPN:

/ppp secret add caller-id="" comment="" disabled=no limit-bytesin=0 limit-bytes-out=0 name=usuario-ovpn password=123456
profile=ovpn-profile routes=" service=ovpn
271
Configurao do servidor OVPN

Open VPN
Habilite o servidor OVPN
/interface ovpn-server server set auth=sha1,md5
certificate=cert1 cipher=blowfish128,aes128,aes192,aes256
default-profile=ovpn-profile enabled=yes keepalivetimeout=disabled max-mtu=1500 mode=ip netmask=29
port=1194 require-client-certificate=no
Atualmente existe um bug na implementao do

OpenVPN no Mikrotik ROS, onde se
configurarmos a opo Require Client Certificate
teremos problemas com TLS. Desta forma a
configurao dever ser para NO.
Caso possua um firewall ativo, crie um filtro permitindo acesso na porta 1194
/ip firewall filter add action=accept chain=input comment="OpenVPN" disabled=no
dst-port=1194 protocol=tcp
272
Configurao do cliente OVPN

Open VPN
/interface ovpn-client
add add-default-route=no auth=none
certificate=none cipher=none comment=" connectto=200.200.200.200 disabled=no macaddress=00:00:00:00:00:00 max-mtu=1500 mode=ip
name=ovpn-out1 password=123456 port=1194
profile=default user=usuario-ovpn
273
Tneis IPIP
IPIP um protocolo que encapsula pacotes IP sobre o prprio protocolo IP baseado na
RFC 2003. um protocolo simples que pode ser usado para ligar duas Intranets
atravs da Internet usando 2 routers.
A Interface do tnel IPIP aparece na lista de interfaces como se fosse uma interface
real.
Vrios Roteadores comerciais, icluindo o Cisco e baseados em Linux suportam esse
protocolo.
Um exemplo prtico de uso de IPIP seria a necessidade de monitorar hosts atravs de
um NAT, onde o tnel IPIP colocaria a rede privada disponvel para o host que realiza
o monitoramento, sem necessidade de criao de usurio e senha como nas VPNs.
274
Tneis IPIP
Exemplo:
Supondo que temos de unir as redes que esto por trs dos roteadores 200.200.200.1 e
200.200.100.1. Para tanto basta que criemos as interfaces IPIP em ambos routers, da
seguinte forma:
275
Tneis IPIP
Em seguida atribui-se endereo IP s interfaces criadas ( de preferncia ponto a ponto )
Pronto, est criado o Tnel IPIP e agora as redesfazem parte do mesmo domnio de
Broadcast.
276
Tneis EoIP
EoIP ( Ethernet over IP ) um protocolo proprietrio Mikrotik para encapsulamento de todo
tipo de trfego sobre o protocolo IP. Quando habilitada a funo de Bridge dos roteadores
que esto interligados atravs de um tnel EoIP, todo o trfego passado de um lado para o
outro como se houvesse um cabo de rede interligando os pontos, mesmo roteando pela
Internet e por vrios protocolos.
EoIP possibilita:
- Interligao em bridge de LANs remotas atravs da Internet
- Interligao em bridge de LANs atravs de tneis criptografados
- Possibilidade de bridgear LANs sobre redes Ad Hoc 802.11
Caractersticas:
- A interface criada pelo tnel EoIP suporta todas as funcionalidades de uma interface
Ethernet. Endereos IP e outros tneis podem ser configurados na interface EoIP.
- O protocolo EoIP encapsula frames Ethernet atravs do protocolo GRE.
277
-O nmero mximo de tneis suportados no Mikrotik ROS so 65536.
Tneis EoIP
Criando um tnel EoIP entre as redes que esto por

trs dos roteadores 200.200.200.1 e 200.200.100.1.
OBS:
- Os MACs devem ser diferentes e estar entre o
range 00-00-5E-80-00-00 to 00-00-5E-FF-FF-FF, pois
so endereos reservados para essas aplicaes.
-O MTU deve ser deixado em 1500 para evitar
fragmentaes.
- O tnel ID deve ser o mesmo em ambos os lados.
278
Tneis EoIP
Adicione a interface EoIP

bridge, juntamente com a
interface da rede que far parte
do mesmo domnio de broadcast
(normalmente uma interface da
rede privada LAN).
279
Dvidas ??
280
Hotspot
no
Mikrotik
281
Hotspot
O que ?
Hotspot um termo utilizado para se referir a uma rea pblica onde est disponvel um servio
de acesso a Internet, normalmente atravs de uma rede sem fio Wi-Fi. Aplicaes tpicas
incluem o acesso em Hotis, Aeroportos, Shoppings, Universidades, etc.
O conceito de Hotspot pode ser usado no entanto para dar acesso controlado a uma rede
qualquer, com ou sem fio, atravs de autenticao baseada em nome de usurio e senha.
Como funciona ?
Quando em uma rea de cobertura de um Hotspot, um usurio que possua um Laptop e tente
navegar pela WEB arremetido para uma pgina do Hotspot que pede suas credenciais,
normalmente usurio e senha. Ao fornece-las e sendo um cliente autorizado pelo Hotspot o
usurio ganha acesso Internet podendo sua atividade ser controldada e bilhetada.
282
Hotspot
Setup do Hotspot:
1 Escolha a interface que vai
ouvir o Hotspot
2 Escolha o IP em que vai rodar
o Hotspot e indique se a rede ser
mascarada
3 D um pool de endereos que
sero distribuidos para os
usurios do Hotspot (se no tiver,
crie em /ip pool)
4 Selecione um certificado, caso
queira usar.
continua
283
Hotspot
Setup do Hotspot:
continuao
5 Se quiser forar a usar o
seu smtp, indique o IP aqui
6 D o endereo IP dos
servidores de DNS que iro
resolver os nomes para os
usurios do Hotspot
7 D o nome do DNS (
aparecer no Browser dos
clientes ao invs do IP)
Pronto, est configurado o
Hotspot !
OBS: os mesmos passos

acima podem ser feitos
no terminal com /ip
hotspot setup
284
Hotspot
Embora tenha sido uma configurao bastante fcil e rpida, o Mikrotik se encarregou
de fazer o trabalho pesado, criando as regras apropriadas no Firewall, bem como uma
fila especfica para o Hotspot.
285
Hotspot - Detalhes de Configurao

keepalive-timeout ( time | none ; default: 00:02:00 )
Utilizado para detectar se o computador do cliente est
ativo e encontrvel. Caso nesse perodo de tempo o teste
falhe, o usurio tirado da tabela de hosts e o endereo Ip
que ele estava usando liberado. O tempo contabilizado
levando em considerao o momento da desconexo
menos o valor configurado ( 2 minutos por default)
idle-timeout ( time | none ; default: none ) mximo
perodo de inatividade para clientes autorizados.
utilizado para detecta que clientes no esto usando redes
externas ( internet em geral ) e que no h trfego do
cliente atravs do roteador. Atingindo o timeou o cliente
derrubado da lista dos hosts, o endereo IP liberado e a
sesso contabilizada a menos desse valo.
addresses-per-mac ( integer | unlimited ; default: 2 )
nmero de IPs permitidos para um particular MAC
286
Hotspot Server Profiles
HTML Directory:
Diretrio onde esto colocadas as pginas desse Hotspot
HTTP Proxy / HTTP Proxy Port
Endereo e porta do Servidor de Web Proxy
SMTP Server:
Endereo do servidor de SMTP
rate-limit:
Cria uma simple Queue para todo o Hotspot (vai aps as filas dinamicas dos
usurios.
287

login-by
cookie - usa HTTP cookies para autenticar sem pedir as credenciais. Se o cliente ainda
no tiver um cookie ou tiver expirado usa outro mtodo
http-chap - usa mtodo CHAP mtodo criptografado
http-pap - usa autenticao com texto plano pode ser sniffado facilmente
https usa tunel SSL criptografado. Para isso funcionar, um certificado vlido deve ser
importado para o roteador.
mac Tenta usar o MAC dos clientes primeiro como nome de usurio. Se existir na
tabela de usurios local ou em um Radius, o cliente liberado sem username/password
trial no requer autenticao por um certo perodo de tempo
HTTP Cookie Lifetime: tempo de vida dos Cookies
Split User Domain: corta o dominio do usurio no caso de usurio@dominio.com.br
288

Utilizao de servidor Radius para autenticao do Hotspot
:
Location ID e Location Name: Podem ser atribuidos aqui ou no Radius normalmente deixar em
branco.
Habilitar Accounting para fazer a bilhetagem dos usurios, com histrico de logins, desconexes,
etc
Interim Update: Frequencia de envio de informaes de accounting (segundos). 0 assim que
ocorre o evento.
NAS Port Type: Wireless, Ethernet ou Cabo
289
Hotspot User Profiles

Os user profiles servem para dar tratamento diferenciado a grupos de
usurios, como suporte, comercial, diretoria, etc
Session Timeout: tempo mximo permitido (depois disso o cliente
derrubado)
Idle Timeout / Keepalive Timeout: mesma explicao anterior, no
entanto agora somente para os usurios desse perfil.
Status Autorefresh: tempo de refresh da pgina de Status do
Hotspot
Shared Users: nmero mximo de clientes com o mesmo
username.
290

Os perfis dos usurios podem conter os limites de velocidade
implementados de forma completa, com bursts, limit-at, etc
Rate Limit:
rx-rate[/tx-rate] [rx-burst-rate[/tx-burst-rate]] [rx-burst-threshold[/txburst-threshold]] [rx-burst-time[/tx-burst-time]] [priority] [rx-limit-at[txlimit-at]]
Exemplo: 128k/256k 256k/512k 96k/192k 8/8 6 32k/64k

-- 128k de upload, 256k de download
-- 256k de burst p/ upload, 512k de burst p/ download
-- 96k de threshold p/ upload, 192k de threshold p/ download
-- 8 segundos de burst time
-- 6 de prioridade
-- 32k de garantia de upload, 64k de garantia de download
291

Incoming Filter: nome do firewall chain aplicado aos pacotes que
chegam dos usurios deste perfil
Outgoing Filter: nome do firewall chain aplicado aos pacotes que
vo para os usurios desse perfil
Incoming Packet Mark: Marca colocada automticamente em
todos os pacotes oriundos de usurios desse perfil
Outgoing Packet Mark: Marca colocada em todos os pacotes que
vo para os usurios desse perfil.
Open Status Page: mostra a pgina de status
http-login : para usurios normais que logam pela web
always ; para todos, inclusive os que logam por MAC
Transparent Proxy: se deve usar proxy transparente

292

Com a opo Advertise possvel enviar de tempos em tempos
popups para os usurios do Hotspot.
Avertise URL: Lista das pginas que sero anunciadas. A lista
cclica, ou seja quando a ltima mostrada, comea-se novamente
pela primeira.
Advertise Interval: Intervalos de exibio dos Popups. Depois da
sequencia terminada, usa sempre o ltimo intervalo. No exemplo, so
mostradas inicialmente a cada 30 segundos, 3 vezes e depois a cada
1 hora.
Advertise Timeout: Quanto tempo deve esperar para o anncio ser
mostrado, antes de bloquear o acesso rede com o Walled-Garden
pode ser configurado um tempo ( default = 1 minuto )
nunca bloquear
bloquear imediatamente
293
Hotspot User Profile - Scripts

O mikrotik possui uma linguagem interna de scripts que podem
ser adicionados para serem executados em alguma situao
especfica.
No Hotspot possvel criar scripts que executem comandos a
medida que um usurio desse perfil se conecta ou se
desconecta do Hotspot
-Os parmetros que controlam essas execues so
on-login
on-logout
Os scripts so adicionados com / system scripts add

294
Hotspot Users
295
Hotspot Users
Detalhes de cada usurio:
all para todos os hotspots configurados ou para um especfico.
Name: Nome do usurio. Se o modo trial estiver habilitado o Hotspot
colocar automticamente o nome T-MAC_address. No caso de autenticao
por MAC, o MAC pode ser adicionado como username (sem senha).
Endereo IP: caso queira vincular esse usurio a um endereo fixo.
MAC Address: caso queira vincular esse usurio a um MAC determinado
Profile: perfil de onde esse usurio herda as propriedades
Routes: rota que ser adicionada ao cliente quando esse se conectar.
Sintaxe endereo de destino gateway metrica. Exemplo 192.168.1.0/24
192.168.166.1 1. Vrias rotas separadas por vrgula podem ser adicionadas.
Email: ?
296
Hotspot Users
Limit Uptime: Total de tempo que o usurio pode usar o Hotspot.
til para fazer acesso pr pago. Sintaxe hh:mm:ss. Default = 0s
sem limite.
Limit Bytes In: total de Bytes que o usurio pode transmitir. (bytes
que o roteador recebe do usurio.
Limit Bytes Out: total de Bytes que o usurio pode receber. (bytes
que o roteador transmite para o usurio.
Os limites valem para cada usurio. Se um usurio j fez o download
de parte de seu limite, o campo session limit vai mostrar o restante.
Quando o usurio exceder seu limite ser impedido de logar. As
estatsticas so atualizadas cada vez que o usurio faz o logoff, ou
seja enquanto ele estiver logado as estatsticas no sero mostradas.
Use /ip hotspot active para ver as estatsticas atualizadas nas
sesses correntes dos usurios.
Se um usurio tem o endereo IP especificado somente poder haver
um logado. Caso outro entre com o mesmo usurio/senha, o primeiro
ser desconectado.
297
Hotspot Active
Mostra dados gerais e estatsticas de todos os

usurios conectados
298
IP Bindings
O Mikrotik por default tem habilitado o universal client que uma facilidade que
aceita qualquer IP que esteja configurado no cliente fazendo com ele um NAT 1:1.
Esta facilidade denominada DAT na AP 2500 e eezee no StarOS.
possvel fazer tambm tradues NAT estticas com base no IP original, ou IP da
rede ou no MAC do cliente. possvel tambm permitir a certos endereos
contornarem (by-passarem) a autenticao do Hotspot. Ou seja sem ter de logar
na rede inicialmente. Tambm possvel bloquear endereos
continua
299
IP Bindings
MAC Address: mac original do cliente

Address: endereo IP configurado no cliente (ou rede)
To Address: endereo IP para o qual o original deve ser traduzido.
Type: Tipo de Binding
Regular: faz uma traduo 1:1 regular
Bypassed: faz a traduo mas dispensa o cliente de logar no Hotspot
Blocked: a traduo no ser feita e todos os pacotes sero descartados.
300
Hotspot Ports
A facilidade de NAT e NAT 1:1 do Hotspot causa problemas com alguns protocolos
incompatveis com NAT. Para que esses protocolos funcionem de forma
consistente, devem ser usados os mdulos helpers
No caso de NAT 1:1 o nco problema com relao ao mdulo de FTP que deve
ser configurado para usar as portas 20 e 21.
.
301
Walled Garden
Configurando um Walled Garden ou Jardim Murado possvel oferecer ao usurio o acesso a
determinados servios sem necessidade de autenticao. Por exemplo em um Aeroporto poderse-ia disponibilizar informaes climticas, horrios de voos, etc sem a necessidade do usurio
adquirir crditos para acesso externo.
Quando um usurio no logado no Hotspot requisita um servio do Walled Garden o gateway no
o intercepta e, no caso de http, redireciona a reuisio para o destino ou para um proxy.
Para implementar o Walled Garden para requisies http, existe um Web Proxy embarcado no
Miktotik, de forma que todas as requisies de usurios no autorizados passem de fato por esse
proxy.
Observar que o proxy embarcado no tem as funes de fazer cache, pelo menos por ora. Notar
tambm que esse proxy embarcado faz parte do pacote system e no requer o pacote webproxy.
302
Walled Garden
importante salientar que o Walled Garden no se destina somente a servio WEB,

mas qualquer servio que queiramos configurar. Para tanto existem 2 menus distintos
que esto acima, sendo que o da esquerda destina-se somente para HTTP e HTTPS e o
da direita para outros servios e protocolos.
No terminal o acesso ao primeiro por /ip hotspot walled-garden e ao segundo /ip
hotspot walled-garden ip
303
Walled Garden p/ HTTP e HTTPS

Action: allow ou deny permite ou nega
Server: Hotspot ou Hostpots para o qual vale esse
Walled Garden
Src Address: Endereo IP do usurio requisitante.
Dst Address: Endereo IP do Web Server
Method: mtodo de http
Dst Host: nome de domnio do servidor de destino.
Dst Port: porta de destino que o cliente manda a
solicitao.
Path: caminho da requisio.
OBS:
- nos nomes de dominio necessrio o nome completo,
podendo ser usados coringas
- aceita-se expresses regulares devendo ser iniciadas
com (:)
304
Walled Garden p/ outros protocolos
Action: aceita, descarta ou rejeita o pacote

Server: Hotspot ou Hostpots para o qual vale esse
Walled Garden
Src Address: Endereo IP de origem do usurio
requisitante.
Protocol: Protocolo a ser escolhido da lista
Dst Port: Porta TCP ou UDP que est sendo
requisitadao
Dst Host: Nome de domnio do WEB server
305
Hotspot - Cookies
Quando configurado o login por Cookies, estes ficam armazenados no Hotspot,

com o nome do usurio, MAC e o tempo de validade.
Enquanto estiverem vlidos o usurio no precisa passar o par usurio/senha
Podem ser deletados (-) forando assim o usurio fazer nova autenticao
306
Personalizando o Hotspot
Pginas do Hotspot
As pginas do Hotspot so totalmente configurveis e alm disso possvel criar conjuntos
totalmente diferentes das pginas do Hotspot para vrios perfis de usrios especificando
diferentes diretrios html raiz ) /ip hotspot profile html-directory.
Principais pginas que so mostradas aos usurios:
redirect.html redireciona o usurio a uma pgina especfica
login.html Pgina de login que pede ao usurio o login e senha. Esta pgina tem os
seguintes parametros:
username / password
dst URL original que o usurio solicitou antes do redirecionamento (ser
aberta aps o login com sucesso)
popup se ser aberto uma janela de pop-up quando o usurio se logar com
sucesso.
307
Personalizando o Hotspot
Pginas do Hotspot
As pginas do Hotspot so totalmente configurveis e podem ser
editadas em qualquer editor html, sendo depois atualizadas no
mikrotik.
possvel criar conjuntos totalmente diferentes de pginas do
Hotspot para vrios perfis de usrios especificando diferentes
diretrios html raiz ) /ip hotspot profile html-directory.
Essa possibilidade, associada a criao de APs virtuais possibilita
que em uma mesma rea pblica o detentor da infraestrutura
possa fornecer servio a vrios operadores, utilizando os mesmos
equipamentos.
308
Hotspot com https

Criar o certificado em uma mquina Unix com o Script:
#!/bin/sh
SERVER=hotspot.mikrotikbrasil.com.br
PRIVATE_KEY=$SERVER.key
CERTIFICATE_FILE=$SERVER
VALID_DAYS=1095
openssl genrsa -des3 -out $PRIVATE_KEY 1024
openssl req -new -x509 -days $VALID_DAYS -key $PRIVATE_KEY -out
$CERTIFICATE_FILE
Importar o Certificado em / certificate import
309
Dvidas ??
310
User Manager
311
User Manager
O que o User Manager ?
um sistema de gerenciamento de usurios que pode ser utilizado para controlar
Usurios de Hotspot
Usurios PPP (PPtP e PPPoE)
Usurios DHCP
Usurios Wireless em Geral
Usurios do sistema RouterOS em si
312
User Manager
Como implementar
Fazer o download do pacote / FTP para o Router / Reboot
Criar o primeiro subscriber (somente no terminal)
[admin@MikrotikBrasil] tool user-manager customer> add login="admin"
password=1234" permissions=owner
Logar via WEB com o usurio e senhas criados acima em:

http://IP_do_Router/userman
313
User Manager - Conceitos

Customers, Subscribers e Users
Customers so os provedores de servio. Eles tem acesso interface
WEB para manipular os usurios (users) crditos e roteadores.
Um Subscriber um Customer com permisses de dono
Os Subscribers tem conhecimento de tudo que acontece com seus subcustomers, crditos, usurios, roteadores, sesses, etc. No entanto um
subscriber no tem acesso aos dados de outros subscribers.
Users so os pobres mortais que usam os servios oferecidos pelos
Customers
314
User Manager Algumas caractersticas

Cada Subscriber pode criar vrios Customers, personalizando telas de login para os
usurios, permisses que os Customers tem, Modelos de Voucher, etc
Voucher o carto de login/senha que pode ser gerado em lote para o atendimento de
um Hotel, por exemplo
possvel implementar esquemas de criao de login pelo usurio com pagamento por
carto de crdito via PayPal ou Autorize.net
possvel configurar na mesma mquina o User Manager e o Hotspot, possibilitando
uma soluo nica para prestar servio em Hotel com uma mquina rodando Mikrotik
apenas.
315
Exemplo de implementao de User

Manager com Hotspot
No Router:
/ ip hotspot profile set hsprof1 use-radius=yes
/ radius add service=hotspot address=x.x.x.x secret=123456
No User Manager:
/ tool user-manager customer add login="MikrotikBrasil" password=1234"
permissions=owner
/ tool user-manager router add subscriber=MikrotikBrasil ip-address=10.5.50.1 sharedsecret=123456
/ tool user-manager user add username=demo password=demo subscriber=MikrotikBrasil
No caso, para usar somente uma mquina, basta apontar o mesmo IP x.x.x.x que ela ser
o Hotspot e ao mesmo tempo o User Manager
Em seguida pode-se criar planos e senhas em batch, fornecendo-as ao Hotel, de
preferencia gerenciadas por algum aplicativo simples em Windows.
316
Dvidas ??
317
Roteamento
Mikrotik RouterOS suporta dois tipos de roteamento:
Roteamento Esttico: As rotas criadas pelo usurio atravs de insero
de rotas pr definidas em funo da topologia da rede
Roteamento Dinmico: As rotas so geradas automticamente atravs de
algum agregado de endereamento IP ou por protocolos de roteamento
O Mikrotik suporta ECMP - Equal Cost Multipath Routing (Roteamento por
multicaminhos com mesmo Custo), que um mecanismo que permite rotear pacotes
atravs de vrios links e permite balanceamento de carga.
possvel ainda no Mikrotik se estabelecer Polticas de Roteamento (Policy Routing)
dando tratamento diferenciado a vrios tipos de fluxo a critrio do adminstrador.
318
ECMP
Este mecanismo de roteamento habilita o roteamento de pacotes em vrios links com
custo igual, assegurando um certo balanceamento de carga. Com ECMP podem ser
usados mais de um gateway para um destino.
Com ECMP habilitado um novo gateway escolhido para cada novo par de IPs
origem/destino. Por exemplo uma conexo FTP aberta para um servidor usar um
link, enquanto que uma segunda conexo para outro servidor usar o prximo link.
As rotas ECMP podem ser criadas por protocolos de roteamento (RIP ou OSPF) ou
adicionando uma rota esttica com mltiplos gateways separados por vrgula. O
trfego pode ser ponderado entre links diferentes usando o mesmo gateway mais de
uma vz. Por exemplo, se temos um link de 1 mega e outro de dois megas e queremos
que os pacotes saiam nessa proporo, declaramos o gateway de 2 megas duas
vezes.
319
ECMP
- ECMP no significa redundncia, pois no cuida do estado dos links.
- ECMP no um protocolo voltado conexo, o que pode significar problemas de
downloads interrompidos.
Para que o ECMP seja habilitado basta adicionar vrios gateways para a mesma rota,
por exemplo:
/ip route add gateway=192.168.0.1, 192.168.1.1, 192.168.1.1
No exemplo acima, indiretamente o gateway 192.168.1.1 ter peso 2, ou seja de 3
pacotes, 1 ir pelo primeiro link e dois pelo segundo.
320
Exemplo de ECMP
Temos que rotear os pacotes da rede
192.168.0.0/24 por dois links distintos:
- 10.1.0.1 de 2 mbps
- 10.1.1.1 de 4 mbps
A soluo para balancear o link configurar um
gateway com o primeiro link e dois com o segundo.
321
Exemplo de ECMP
Temos que rotear os pacotes da rede
192.168.0.0/24 por dois links distintos:
- 10.1.0.1 de 2 mbps
No Winbox :
- 10.1.1.1 de 4 mbps
A soluo para balancear o link configurar um
gateway com o primeiro link e dois com o segundo.
322
Polticas de Roteamento
Existem algumas regras que devem ser seguidas para se estabelecer uma poltica de
roteamento:
As polticas podem ser por marca de pacotes, por classes de endereos Ip e portas.
A marca dos pacotes deve ser adicionada no Firewall, no mdulo Mangle com
routing-mark
Aos pacotes marcados ser aplicada uma poltica de roteamento, dirigindo-os para
um determinado gateway.
possivel utilizar poltica de roteamento quando se utiliza mascaramento (NAT)
323
Polticas de Roteamento
Observaes Importantes:
Uma aplicao tpica de Polticas de Roteamento trabalhar com dois links
direcionando parte do trfego por um e parte por outro. Por exemplo a canalizao de
aplicaes peer-to-peer por um link menos nobre
impossvel porm reconhecer o trfego peer-to-peer do a partir do primeiro pacote,
mas to somente aps as conexes estabelecidas, o que impede o funcionamento dos
programas P2P em caso de NAT de origem.
A estratgia nesse caso colocar como gateway default o link menos nobre, marcar
o trfego conhecido e nobre ( HTTP, DNS, POP3, SMTP, etc) e desvia-lo para o link
nobre. Todas as outras aplicaes, incluido o P2P, iro para o link no nobre.
324
Exemplo de Poltica de Roteamento
Na situao normal queremos que a rede:

192.168.0.0/24, use o gateway GW_1,
192.168.1.0/24, use o gateway GW_2
No caso de falha aos pings do GW_1 ou
do GW_2, queremos automticamente
rotear para o GW_Backup.
325

1. Marcar pacotes da rede 192.168.0.0/24 com new-routing-mark=net1, e pacotes da rede
192.168.1.0/24 com new-routing-mark=net2:
ip firewall mangle> add src-address=192.168.0.0/24 action=mark-routing new-routing-mark=net1
chain=prerouting
ip firewall mangle> add src-address=192.168.1.0/24 action=mark-routing new-routing-mark=net2
chain=prerouting
2. Rotear os pacotes da rede 192.168.0.0/24 para o gateway GW_1 (10.0.0.2), pacotes da rede
192.168.1.0/24 para o gateway GW_2 (10.0.0.3), usando as correspondentes marcas de pacotes.
Se GW_1 ou GW_2 falharem ( no responder a pings), rotear para GW_Backup (10.0.0.1):
ip route> add gateway=10.0.0.2 routing-mark=net1 check-gateway=ping
ip route> add gateway=10.0.0.3 routing-mark=net2 check-gateway=ping
ip route> add gateway=10.0.0.1
326

Com Winbox:
327
Balanceamento
de Carga
melhorado
com Mikrotik
Ateno Os prximos 32 slides so referentes configuraao
De balanceamento na V3 somente
328
Balanceamento de Carga com NTH

Conforme pudemos ver at agora existem diversos mtodos para se fazer
balanceamento de carga, cada um com suas particularidades.
Um dos problemas que ocorre quando queremos balancear o trfego utilizando duas
ou mais operadoras diferentes com relao ao funcionamento de diversos servios
dependentes da manuteno conexo, como por exemplo https, servios de
mensagens e outros.
O Mikrotik apresenta um atributo no Mangle que auxilia na marcao de pacotes que
o NTH (n-simo). O NTH tem o objetivo de encontrar a n-simo pacote recebido por
uma regra. Seu uso definido pelos parametros:
nth ( every, packet )
329

Nth ( every, packet )
So dois nmeros inteiros que significam :
every: encontra cada pacote de nmero every. Exemplo, se every = 1, a regra
encontrar o primeiro pacote.
packet: a regra encontra o pacote com esse nmero. Obviamente esse nmero
dever estar entre 1 e every.
Obs: No exemplo a seguir, necessrio a opo Passthrough=YES
330

Exemplo, para balancear 3 links:
nth = 3,1 3,2 3,3
- o primeiro pacote encontra a regra 3,1 (por causa do 1).
- o segundo pacote encontra a regra 3,2 (por causa do 2)
- o terceiro encontra a regra 3,3 (por causa do 3)
- a cada every+1 o contador zerado, iniciando o processo novamente.
331

Para balancear 2 links:
nth = 2,1
2,2

nth = 4,1 4,2 4,3 4,4
nth = 7,1 7,2 7,3 7,4 7,5 7,6 7,7
Para balancear n links:
nth = n,n-1 n,n-2 n,n-3 n,n-4 n,n-5 n,n-6 n,n-7
332

Exemplo para 2 Links
200.200.200.2
200.200.200.1
192.168.0.0/24
Internet
200.200.100.2
200.200.100.1
/ ip address
add address=192.168.0.1/24 network=192.168.0.0 broadcast=192.168.0.255 interface=Local
add address=200.200.200.2/30 network=200.200.200.0/30 broadcast=200.200.200.3 interface=wan2
333

1 marca-se a conexo no
canal prerouting, pela
interface Local e estado da
conexo new
2 Marca-se a conexo com
a etiqueta primeira e manda
passar adiante
3 Na aba Extra marca-se
o atributo NTH
334

Exemplo para 2 Links continuao:
4 no canal prerouting, na Interface
Local, escolhe-se agora as conexes
que tem a marca primeira
5 Toma-se a ao mark routing
dando-se o nome de primeira_rota.
Isso significa que todos os pacotes
pertencentes conexo primeira
sero rotulados com a marca de
roteamento primeira_rota e marcar
a opo passtrhough.
335

continuao.
6 Faz-se o mesmo para a
conexo seguinte, utilizando
agora o atributo NTH = 2,2 e
a marca de conexo
segunda
336

continuao:
7 Finalizando a etapa de
marcao, faz-se o mesmo
procedimento de marcar os
pacotes pertencentes conexo
segunda colocando-se a marca
de rota segunda_rota
337

continuao:
10 necessrio agora fazer
as regras de NAT de forma que
as conexes marcadas como
primeira sejam nateadas pelo IP
da WAN1
338

continuao:
11 Da mesma forma, as
conexes marcadas como
segunda devem ser nateadas
pelo endereo IP da WAN2
339

12 Cria-se ento as rotas default
apontando para o primeiro e segundo link,
dependendo da marcao recebida
previamente.
13 Finalmente cria-se uma rota default
apontando para qualquer um dos links, com
a finalidade de mandar os pacotes no
marcados, no caso o trfego do prprio
roteador.
340
Balanceamento de Carga com NTH, com

conexes persistentes por usurio
Nesse caso, nosso objetivo fazer o balanceamento entre 2 links, mas forando que as
conexes dos mesmos usurios saiam sempre pelo mesmo link.
Fazemos isso, utilizando a tcnica do NTH combinada com as Address Lists do
Firewall.
1 Adicionamos duas Address Lists no Firewall
341

2 Fazemos agora com que todas as conexes novas oriundas dos

usurios contidos na Lista_1 sejam marcadas com a marca primeira e
em seguida fazemos com que os pacotes dessa conexes recebam a
marca de rota primeira_rota
342

Regra 1
343

Regra 2
344

3 O mesmo fazemos agora para as conexes novas oriundas dos

usurios contidos na Lista_2.
Marcamos as conexes com a marca segunda e em seguida fazemos
com que os pacotes dessa conexes recebam a marca de rota
segunda_rota
345

Regra 3
346

Regra 4
347

Fazemos agora as
marcaes, desta vz
utilizando o NTH.
Nestas regras iro passar
todos os clientes que no
estiverem j inscritos em
listas.
Regra 5
348

Agora, os usurios que foram
marcados com uma marca de
conexo especfica, so inscritos
em uma lista.
No caso, primeira Lista_1
Regra 6
349
Ainda na marca de conexo

primeira, marca-se a rota
primeira_rota
Regra 7
350
Repetimos tudo de novo

utilizando no entanto o NTH =
2,2
Regra 8
351
Adiciona-se agora os usurios na

Lista_2
Regra 9
352
Regra 10
353

Regra 11
Faz-se normalmente as regras

de NAT de forma que as
da WAN1
354

Regra 12
O mesmo para as conexes
marcadas como segunda, que
devem ser nateadas pelo
endereo IP da WAN2
355

apontando para o primeiro e segundo
link, dependendo da marcao
recebida previamente.
14 Finalmente cria-se uma rota
default apontando para qualquer um
dos links, com a finalidade de mandar
os pacotes no marcados.
356
Balanceamento de Carga com NTH, utilizando

links de velocidades diferentes
Quando temos vrios links de velocidades diferentes e queremos balancea-los de forma
ponderada podemos faze-lo utilizando a seguinte lgica:
Somamos os valores das velocidades de todos os links.
Dividimos o valor encontrado pela velocidade do menor link
O valor encontrado menos 1 ser o valor de every.
O valor de packet ir variar de zero at esse valor encontrado menos 1
357

Exemplo: temos 4 links de velocidades de 512, 1024, 1024 e 2048 kbps e queremos balancealos:
Total da Banda = 512 + 1024 + 1024 + 2048 = 4608
Equivalencia de link = 4608/512 = 9 ( como se tivssemos 9 links de 512kbps)
Escolhemos os seguintes valores de NTH: 9,1 9,2 9,3 9,4 9,5 9,6 9,7 9,8 9,9
Seguindo a mesma lgica do que foi feito para dois links, no mangle, marcamos as conexes e
rotas de 1 a 8.
Promovemos ento o balanceamento direcionando 1 conexo para o link1, 2 para o link2, 2 para
o link3 e 4 para o link4, totalizando 4+2+2+1 = 9 conexes.
358
Dvidas ??
359
Balanceamento
de Carga
melhorado
com Mikrotik
Ateno Os prximos 32 slides so referentes configuraao
De balanceamento na V2.9 somente !!
360

Conforme pudemos ver at agora existem diversos mtodos para se fazer
balanceamento de carga, cada um com suas particularidades.
Um dos problemas que ocorre quando queremos balancear o trfego utilizando duas
ou mais operadoras diferentes com relao ao funcionamento de diversos servios
dependentes da manuteno conexo, como por exemplo https, servios de
mensagens e outros.
O Mikrotik apresenta um atributo no Mangle que auxilia na marcao de pacotes que
o NTH (n-simo). O NTH tem o objetivo de encontrar a n-simo pacote recebido por
uma regra. Seu uso definido pelos parametros:
nth ( every, counter, packet )
361

Nth ( every, counter, packet )
So trs nmeros inteiros que significam :
every: encontra cada pacote de nmero every+1. Exemplo, se every = 1, a regra
encontrar o segundo pacote.
counter: especifica qual contador utilizar. um nmero aleatrio que deve ser
escolhido de 0 a 15, devendo ser o mesmo para um grupo que se queira balancear.
packet: a regra encontra o pacote com esse nmero. Obviamente esse nmero
dever estar entre 0 e every.
362

Exemplo, para balancear 3 links:
nth = 2,3,0 2,3,1 2,3,2
- o primeiro pacote encontra a regra 2,3,0 (por causa do 0).
- o segundo pacote encontra a regra 2,3,1 (por causa do 1)
- o terceiro encontra a regra 2,3,2 (por causa do 2)
- a cada every+1 o contador zerado, iniciando o processo novamente.
363

nth = 1,2,0
1,2,1

nth = 3,3,0 3,3,1 3,3,2 3,3,3
nth = 6,15,0 6,15,1 6,15,2 6,15,3 6,15,4 6,15,5 6,15,6
364

nth = 1,2,0
1,2,1

nth = 3,3,0 3,3,1 3,3,2 3,3,3
nth = 6,15,0 6,15,1 6,15,2 6,15,3 6,15,4 6,15,5 6,15,6
365

200.200.200.2
200.200.200.1
192.168.0.0/24
Internet
200.200.100.2
200.200.100.1
/ ip address
add address=192.168.0.1/24 network=192.168.0.0 broadcast=192.168.0.255 interface=Local
366

1 marca-se a conexo no
canal prerouting, pela
interface Local e estado da
conexo new
2 Marca-se a conexo com
a etiqueta primeira e manda
passar adiante
3 Na aba Extra marca-se
o atributo NTH
367

4 no canal prerouting, na Interface
Local, escolhe-se agora as conexes
que tem a marca primeira
5 Toma-se a ao mark routing
dando-se o nome de primeira_rota.
Isso significa que todos os pacotes
pertencentes conexo primeira
sero rotulados com a marca de
roteamento primeira_rota No se
usa passtrhough pois a ao j foi
tomada e esse pacote para de ser
examinado.
368

continuao.
6 Faz-se o mesmo para a
conexo seguinte, utilizando
agora o atributo NTH = 1,1,1
e a marca de conexo
segunda
369

continuao:
7 Finalizando a etapa de
marcao, faz-se o mesmo
procedimento de marcar os
pacotes pertencentes conexo
segunda colocando-se a marca
de rota segunda_rota
370

continuao:
10 necessrio agora fazer
as regras de NAT de forma que
as conexes marcadas como
da WAN1
371

continuao:
11 Da mesma forma, as
segunda devem ser nateadas
pelo endereo IP da WAN2
372

apontando para o primeiro e segundo link,
dependendo da marcao recebida
previamente.
13 Finalmente cria-se uma rota default
apontando para qualquer um dos links, com
a finalidade de mandar os pacotes no
marcados, no caso o trfego do prprio
roteador.
373

Nesse caso, nosso objetivo fazer o balanceamento entre 2 links, mas forando que as
conexes dos mesmos usurios saiam sempre pelo mesmo link.
Fazemos isso, utilizando a tcnica do NTH combinada com as Address Lists do
Firewall.
1 Adicionamos duas Address Lists no Firewall
374

2 Fazemos agora com que todas as conexes novas oriundas dos

usurios contidos na Lista_1 sejam marcadas com a marca primeira e
em seguida fazemos com que os pacotes dessa conexes recebam a
marca de rota primeira_rota
375

Regra 1
376

Regra 2
377

3 O mesmo fazemos agora para as conexes novas oriundas dos

usurios contidos na Lista_2.
Marcamos as conexes com a marca segunda e em seguida fazemos
com que os pacotes dessa conexes recebam a marca de rota
segunda_rota
378

Regra 3
379

Regra 4
380

Fazemos agora as
marcaes, desta vz
utilizando o NTH.
Nestas regras iro passar
todos os clientes que no
estiverem j inscritos em
listas.
Regra 5
381

Agora, os usurios que foram
marcados com uma marca de
conexo especfica, so inscritos
em uma lista.
No caso, primeira Lista_1
Regra 6
382
Ainda na marca de conexo

primeira, marca-se a rota
primeira_rota
Regra 7
383
Repetimos tudo de novo

utilizando no entanto o NTH =
1,1,1
Regra 8
384
Adiciona-se agora os usurios na

Lista_2
Regra 9
385
Regra 10
386

Regra 11
Faz-se normalmente as regras

de NAT de forma que as
da WAN1
387

Regra 12
O mesmo para as conexes
marcadas como segunda, que
devem ser nateadas pelo
endereo IP da WAN2
388

apontando para o primeiro e segundo
link, dependendo da marcao
recebida previamente.
14 Finalmente cria-se uma rota
default apontando para qualquer um
dos links, com a finalidade de mandar
os pacotes no marcados.
389

Quando temos vrios links de velocidades diferentes e queremos balancea-los de forma
ponderada podemos faze-lo utilizando a seguinte lgica:
Somamos os valores das velocidades de todos os links.
Dividimos o valor encontrado pela velocidade do menor link
O valor encontrado menos 1 ser o valor de every.
O valor de packet ir variar de zero at esse valor encontrado menos 1
390

Exemplo: temos 4 links de velocidades de 512, 1024, 1024 e 2048 kbps e queremos balancealos:
Total da Banda = 512 + 1024 + 1024 + 2048 = 4608
Equivalencia de link = 4608/512 = 9 ( como se tivssemos 9 links de 512kbps)
Escolhemos os seguintes valores de NTH: 8,1,0 ; 8,1,1 ; 8,1,2 ; 8,1,3 ; 8,1,4 ; 8,1,5 ; 8,1,6 ; 8,1,7,
8,1,8
Seguindo a mesma lgica do que foi feito para dois links, no mangle, marcamos as conexes e
rotas de 1 a 8.
Promovemos ento o balanceamento direcionando 1 conexo para o link1, 2 para o link2, 2 para
o link3 e 4 para o link4, totalizando 4+2+2+1 = 9 conexes.
391
Dvidas ??
392
Roteamento Dinmico
O Mikrotik RouterOS suporta os seguintes protocolos de roteamento:
RIP verso 1 e RIP verso 2
OSPF verso 2
BGP verso 4
- Verses em desenvolvimento do Mikrotik do suporte a verses mais recentes
desses protocolos, mas ainda em fase beta.
- O uso de roteamento dinamico permite implementar redundncia e balanceamento de
carga de forma automtica e uma forma de se fazer uma rede semelhante s redes
conhecidas como Mesh, porm de forma esttica.
393
Roteamento BGP
O protocolo BGP (Border Gateway Protocol) destinado a fazer comunicao entre
Autonomous Systems diferentes, podendo ser considerado como o corao da Internet.
O BGP mantm uma tabela de prefixos de rotas contendo as informaes de
encontrabilidade de redes (NLRI Network Layer Reachbility Information) entre os ASs.
Ao contrrio de outros protocolos, o BGP no se utiliza de mtricas para encontrar o melhor
caminho, mas sim de polticas administrativas.
A verso corrente do BGP a verso 4, especificada na RFC 1771.
394
BGP - Settings
AS: nmero do Autonomous System Number atribuido por uma entidade que gerencia esses nmeros
(No caso da Amrica Latina, a LACNIC). Os nmeros AS vo de 1 a 65356
Router ID: string de identificao do Roteador, na forma de um nmero IP
Redistribute Connected: Se o roteador deve distribuir as rotas a ele conectadas diretamente
Redistribute Static: Se o roteador deve distribuir as rotas estticas nele configuradas.
Redistribute RIP: Se deve distribuir as rotas aprendidas por RIP
Redistribute OSPF: Se deve distribuir as rotas aprendidas por OSPF
395
BGP - Peer
necessrio especificar pelo menos um Peer com o qual se quer trocar informaes
de roteamento, sendo que para a troca acontecer uma conexo TCP tem que ser
estabelecida (porta179)
Remote AS: nmero do AS remoto
Multihop: Caso habilitada, essa opo permite sesses BGP mesmo em
segmentos no diretamente conectados. Porm a sesso no ser estabelecida caso
a nica rota para o endereo do Peer seja a rota default 0.0.0.0/0
Route Reflect: route reflect uma tcnica para evitar que um roteador de um AS
tenha que repassar as tabelas de roteamento para todos os roteadores internos ao
AS permitindo que o que receber passe adiante, sem necessidade de um esquema
full mesh (http://www.faqs.org/rfcs/rfc2796.html
396
BGP - Peer
Prefix List In: Nome da lista de prefixo para filtragem de pacotes entrantes.
Prefix List Out: Nome da lista de prefixo para filtragem de pacotes entrantes
saintes.
State: Mostra o estado do BGP
Route Received: nmero de rotas recebidas de outros Peers BGP
397
Prefix List
As listas de Prefixo podem ser adicionadas ao roteador com a opo
/routing prefix-list add para que sejam usadas posteriormente pelos
protocolos Rip ou pelo BGP
Prefix List: Nome dado lista de prefixo
Prefixo: identificador da rede em forma de IP
Prefix Length: tamanho do prefixo
Action: Ao ser tomada
398
OSPF
O protocolo Open Shortest Path First (Abra primeiro o caminho mais curto) um
protocolo do tipo link-state. Ele usa o algortimo de Dijkstra para calcular o caminho
mais curto para todos os destinos.
O OSPF distribui informaes de roteamento entre os roteadores que participem de um
mesmo AS ( Autonomous System) e que tenham obviamente o protocolo OSPF
habillitado.
Para que isso acontea todos os roteadores tem de ser configurados de uma maneira
coordenada e devem ter o mesmo MTU para todas as redes anunciadas pelo protocolo
OSPF.
O protocolo OSPF iniciado depois que adicionado um registro na lista de redes. As
rotas so aprendidas e instaladas nas tabelas de roteamento dos roteadores.
artigo da Cisco sobre OSPF: http://www.cisco.com/warp/public/104/1.html#t3
399
Tipos de roteadores em OSPF

O OSPF define 3 tipos de roteadores:
Roteadores internos a uma rea
Roteadores de backbone (dentro da rea 0)
Roteadores de borda de rea (ABR)
Roteadores ABR ficam entre 2 reas e deve tocar a rea 0
Roteadores de borda com Autonomous System

So os roteadores que participam do OSPF mas fazem a
comunicao com um AS
400
OSPF
Settings
Router ID: IP do roteador. Caso no especificado o roteador utiliza o maior endereo IP que exista
na interface.
Redistribute Default Route: Especifica como deve ser distribuida a rota default
never: nunca distribui
if installed (as type 1): envia (com mtrica 1) se tiver sido instalada como rota
esttica ou adicionada por DHCP ou PPP
if installed (as type 2): envia (com mtrica 2) se tiver sido instalada como rota
esttica ou adicionada por DHCP ou PPP
always (as type 1): sempre, com mtrica 1
always (as type 2): sempre, com mtrica 2
401
OSPF Settings
Redistribute Connected Routes: Caso habilitado, o roteador ir redistribuir todas as rotas

relativas a redes que estejam diretamente conectadas a ele (sejam alcanveis)
Redistribute Static Routes: Caso habilitado, distribui as rotas estticas cadastradas em
/ip route
Redistribute RIP: Caso habilitado, redistribui as rotas aprendidas por RIP
Redistribute BGP: Caso habilitado, redistribui as rotas aprendidas por BGP
Na aba Metrics, possivel mudar o custo que sero exportadas as diversas rotas
402
reas de OSPF
O protocolo OSPF permite que vrios roteadores
sejam agrupados entre si. Cada grupo formado
chamado de rea e cada rea roda uma cpia do
algortimo bsico, e que cada rea tem sua prpria
base de dados do estado de seus roteadores.
A diviso em reas importante pois como a
estrutura de uma rea s visvel para os
participantes desta, o trfego sensivelmente
reduzido.
aconselhvel utilizar no mximo 60 a 80
roteadores em cada rea..
Acessa-se as opes de rea em / routing ospf
area
403
reas Stub em OSPF

reas Stub
O OSPF permite que certas reas sejam configuradas como
reas do tipo stub ( reas de topo )
Redes externas, cujas rotas so redistribuidas de outros
protocolos para dentro do OSPF, no podem ser propagadas
em uma rea definida como stub.
O roteamento a partir dessas reas para o mundo exterior
obrigatoriamente baseada em uma rota default.
A configurao de uma rea como Stub, reduz as bases de
dados que o OSPF precisa manter, exigindo
consequentemente menos requisitos de memria dos
roteadores dessas reas.
Mais detalhes em:
http://www.cisco.com/warp/public/104/1.html#t31
404
reas NSSA em OSPF

reas NSSA
A rea chamada NSSA not-so-stubby area, que pode ser traduzida por rea no assim to stub,
ou stub, pero no mucho de acordo com a RFC 1587 uma modificao no conceito de rea stub
que permite a injeo de rotas externas de uma forma controlada.
A redistribuio de rotas dentro de uma NSSA cria um tipo de anncio de estado de link (LSA)
chamado como tipo 7, que s pode existir em uma rea NSSA, no podendo ser propagado pelo
dominio todo do OSPF. Para que anncios sejam propagveis no domnio OSPF necessrio que
eles sejam do tipo 5.
Um roteador de borda, que faz a comunicao entre um NSSA e outras reas pode ou no propagar
esses anncios, dependendo de estar ou no configurado como tradutor do tipo 7 para o tipo 5.
Continua
405
reas NSSA em OSPF
No diagrama acima, se a rea 1 definida como uma rea stub, as rotas IGRP no podem
ser propagadas para dentro do domnio do OSPF porque reas stub no permitem a
propagao de rotas externas.
Porm se definirmos a rea 1 como NSSA, as rotas IGRP podero adentrar o OSPF e
entraro como do tipo 7, sendo propagadas para as outras reas somente se a poltica do
roteador de borda (NSSA ABR) assim permitir ( e propagar como tipo 5)
Por outro lado as rotas RIP que entram na rea 2 no sero permitidas na rea 1. reas
NSSA no permitem anncios do tipo 5, agindo nesse caso como stubs.
Mais detalhes em: http://www.cisco.com/warp/public/104/nssa.html#intro
406
reas de OSPF
- Name: nome a ser dado rea
- rea ID: IP identificador da rea. A rea defoult com IP 0.0.0.0
a rea de backbone. O Backbone OSPF sempre contem
todos os roteadores de borda das outras reas, sendo o
responsvel por distribuir informaes de roteamento elas.
Todas reas tem de tocar logicamente o backbone, podendo
ser por um link virtual.
407
reas de OSPF
-Type: tipo da rea
stub: rea configurada como stub
nssa: rea configurada como nssa
-Translator Role:
translate never: nunca faz a
traduo do
tipo 7 para tipo 5.
translate always: faz sempre
translate candidate: pode ou no fazer a traduo
Maiores informaes no artigo

http://www.cisco.com/warp/public/104/nssa.html#intro
408
Rede OSPF
Define-se aqui a Rede OSPF, com os seguintes
parametros:
- rea: rea do OSPF associada
- Network: Endereo IP/Mscara, associado. Permite
definir uma ou mais interfaces associadas a uma
rea. Somente redes conectadas diretamente podem
ser adicionadas aqui.
409
OSPF - Interface
Para simplesmente rodar o OSPF, no necessrio qualquer
configurao da Interface. Essa facilidade existe no RouterOS
para um refino mais aprofundado das propriedades do OSPF.
Interface: Interface onde vai rodar o OSPF
Cost: custo da Interface (mtrica)
Priority: roteadores com esse valor mais alto tero prioridade
sobre outros
authentication key: senha de autenticao (texto) caso os
roteadores estejam usando autenticao.
Network Type: tipo da rede
ponto a ponto
multiponto
Broadcast: tipicamente Ethernet
nbma (non broadcast multiple address): tipicamente FrameRelay e X25
410
OSPF - Interface
Retransmit Interval: tempo entre anuncios de perda de link.
Quando um roteador manda um anuncio de estado de link (LSA)
para seu vizinho, ele mantes o LSA at que receba de volta a
confirmao (acknowledgment). Caso no receba em tempo,
retransmite o LSA. O valor recomendado para redes Broadcast
5 segundos e para ponto a ponto 10 segundos.
Transmit Delay: intervalo de tempo para transmisso de
LSA.
Hello Interval: Intervalo de tempo entre os pacotes hello
que o roteador manda na interface. Quanto menor o intervalo
hello, mais rpidas sero detectadas as modificaes na
topologia da rede, com o consequente aumento do trfego. Este
valor obrigatoriamente deve ser o mesmo em cada adjacencia.
Router Dead Interval: Especifica o intervalo de tempo aps
o qual um vizinho considerado morto. O intervalo
anunciado nos pacotes hello e seu valor tem de ser
obrigatoriamente o mesmo para todos os roteadores da rede.
411
OSPF Virtual Link

Conforme estabelecido na RFC do OSPF, a rea de backbone
deve ser contgua. No entanto possvel definir reas de forma
que o backbone no seja contguo, porm com a conectividade
assegurada por links virtuais.
Os links virtuais podem ser configurados entre dois roteadores
atravs de uma rea comum chamada de rea transito, sendo
que uma das reas interligadas deve tocar fisicamente o
backbone.
O protocolo trata dois roteadores ligados por um link virtual
como se estivessem ligados por uma rede ponto a ponto no
numerada.
Os parametros de configurao so:
Neighbor ID: IP do roteador vizinho
Transit Area; rea de transito
OBS: no possivel fazer links virtuais entre reas stub 412
OSPF Neighbors
Conforme estabelecido na RFC do OSPF, a rea de backbone deve ser contgua. No entanto possvel definir reas de
forma que o backbone no seja contguo, porm com a conectividade assegurada por links virtuais.
Os links virtuais podem ser configurados entre dois roteadores atravs de uma rea comum chamada de rea transito,
sendo que uma das reas interligadas deve tocar fisicamente o backbone.
O protocolo trata dois roteadores ligados por um link virtual como se estivessem ligados por uma rede ponto a ponto no
numerada.
Os parametros de configurao so:
Neighbor ID: IP do roteador vizinho
Transit Area; rea de transito
OBS: no possivel fazer links virtuais entre reas stub
413
OSPF
414
OSPF
415
OSPF
416
OSPF
417
Dvidas ??
418
Dvidas ??
419
WEB - Proxy
420
WEB - Proxy
O Web Proxy possibilita o armazenamento de objetos Internet (dados disponveis via

protocolos HTTP e FTP) em um sistema local.
Navegadores Internet usando web-proxy podem acelerar o acesso e reduzir o consumo de
banda.
Quando configurar o Web proxy, certifique-se que apenas os clientes da rede local utilizaro
o mesmo, pois uma configurao aberta permitir o acesso externo, trazendo problemas
graves de segurana.
Com o Web Proxy possvel criar filtros de acesso a contedo indesejvel, tornando a
navegao mais segura aos clientes.
421
Um web proxy em execuo, mesmo sem cache, pode ser til como um firewall HTTP e
FTP (negar acesso a determinados tipos de arquivo, como por exemplo MP3) ou ainda para
WEB - Proxy
O MikroTik RouterOS implementa um web-proxy com as seguintes caractersticas:

HTTP proxy
Transparent proxy. Onde transparente e HTPP ao mesmo tempo
Lista de Acesso por origem, destino, URL e mtodos de requisio
Lista de Acesso Cache (especifica os objetos que podero ou no ser
cacheados)
Lista de Acesso Direto (especifica quais recursos devero ser acessados
diretamente - atravs de outro web-proxy)
Sistema de Logging
422
WEB - Proxy
Web-Proxy configurado para 10 GiB de cache, escutando na porta 8080:
Clear Cache Serve para esvaziar o cache
armazenado (dependendo do tamaho do cache
esta opo poder ser bastante lenta).
Enable Utilizado para habilitar ou desabilitar o
web-proxy.
Src.Address - poder ficar em branco. Em caso
de uma hierarquia de proxy, este ser o endereo
IP utilizado pelo protocolo ICP. O src.address
quando deixado em branco (0.0.0.0/0) ser
automaticamente configurado pela tabela de
roteamento.
423
WEB - Proxy
Port - A porta onde o web-proxy escutar.
Parent Proxy - Utilizado para indicar o IP de um servidor proxy pai numa hierarquia de
proxy.
Parent Proxy Port - A porta que o parent proxy escuta.
Cache Administrator - Um nome ou endereo de e-mail para exibio no caso de avisos
emitidos aos clientes.
Max. Cache Size - Tamanho mximo em kiBytes que o cache atingir.
Cache on Disk - Habilita o proxy a armazenar o cache em disco. Caso fique desabilitado
o armazenamento ser na RAM (Random Access Memory).
424
WEB - Proxy
Max Client Connections - nmero mximo de conexes simultneas de clientes permitidas
no proxy. Aps antigido o limite configurado todas as novas conexes sero rejeitadas.
Max Server Connections - nmero mximo de conexes simultneas do proxy para
servidores externos. Todas as novas conexes sero colocadas em espera at que
algumas das conexes ativas sejam encerradas.
Max Fresh Time: um limite mximo de quanto tempo objetos sem um termo explcito de
validade sero consideradas atuais (depois de quanto o tempo o proxy dever realizar uma
nova consulta e atualizar os objetos).
Serialize Connections: No habilitar mltiplas conexes ao servidor para mltiplas
conexes do cliente, quando possvel (servidor suportar conexes HTTP persistentes). Os
clientes sero atendidos em princpio pelo mtodo FIFO; o prximo cliente processado
quando a transferncia para a sesso anterior for concluda. Se um cliente est inativo por
algum tempo (no mximo 5 segundos, por padro), o servidor ir interromper a conexo e
abrir outra.
425
WEB - Proxy
Always From Cache - ignorar pedidos de atualizao dos clientes, caso o contedo seja
considerado atual.
Cache Hit DSCP (TOS) - Marca automaticamente hits do cache com o valor DSCP
configurado.
Cache Drive - exibe o disco que est em uso para o armazenamento dos objetos em
cache. Para configurar o disco necessrio acessar o menu Stores.
OBSERVAO:
O web proxy escuta todos os endereos IP que esto configurados no servidor.
426
WEB - Proxy
Stores
Submenu:/stores
Com esta opo podemos gerenciar a mdia
onde ser armazenado os objetos do cache.
Possvel adicionar mais de 1 disco.
Copiar o contedo de um disco para outro.
Realizar checagen do disco para
verificao de bad blocks.
Realizar formatao do disco, desde que
no seja onde o sistema est instalado.
427
WEB - Proxy
Monitorando o Web-Proxy
Uptime - o tempo transcorrido desde que o

proxy foi ativado.
Requests - total de requisies dos clientes ao
proxy.
Hits - nmero de requisies dos clientes
atendidas diretamente do cache, pelo proxy.
Cache Used a quantidade do disco (ou da RAM se o cache armazenado apenas na
mesma) utilizada pelo cache.
RAM Cache Used quantidade da RAM utilizada pelo cache.
Total RAM Used - a quantidade da RAM utilizada pelo proxy (excluindo tamanho da RAM
Cache).
428
WEB - Proxy
Received From Servers - quantidade de dados, em kiBytes,

recebidos de servidores externos
Sent To Clients - quantidade de dados, em kiBytes, enviado
aos clientes.
Hits Sent To Clients - quantidade, em kiBytes, de cache hits
enviado aos clientes.
Barra de Status Exibe informaes do estado do web proxy
stopped - proxy est desabilitado e inativo
running - proxy est habilitado e ativo
formatting-disk - o disco do cache est sendo formatado
checking-disk - checando o disco que contm o cache para corrigir erros e inconsistncias
do mesmo.
invalid-address - proxy est habilitado, mas no est ativo, porque o endereo IP invlido
429
(dever ser alterado o endereo IP ou porta)
Lista de Conexes
WEB - Proxy
Submenu: /ip proxy connections

Descrio
Este menu contem uma lista das conexes ativas do proxy
Descrio das Propriedades
dst-address endereo IP que os dados passaram atravs do proxy
protocol - nome do protocolo
rx-bytes - quantidade de bytes recebidos remotamente
src-address - endereo IP das conexes remotas
430
Lista de Conexes
WEB - Proxy
State
idle - esperando prximo cliente
resolving - resolvendo nome DNS
rx-body - recebendo quadro HTTP
rx-header - recebendo cabealho; ou esperando prxima requisio do cliente
tx-body - transmitindo quadro HTTP
tx-header - transmitindo cabealho HTTP
tx-bytes - quantidade de bytes enviados remotamente
431
Access List
WEB - Proxy
Submenu: /ip proxy access

A Lista de Acesso configurada da mesma
forma que as regras de firewall. As regras
so processadas de cima para baixo. O
primeiro matching da regra especifica a
tomada de deciso para a conexo. Existe
um total de 6 classificadores para
especificar a regra.
Descrio das propriedades
src-address - endereo IP de origem do
pacote.
dst-address - endereo de destino do
pacote.
dst-port (port{1,10}) - uma porta ou uma
lista de portas para onde o pacote
destinado.
432
Access List
WEB - Proxy
local-port (port) - especifica a porta do web-proxy que recebe os pacotes. Este valor deve
corresponder a porta que o web-proxy est escutando.
dst-host (wildcard) - Endereo IP ou nome DNS utilizado para realizar a conexo (pode
ser apenas uma parte da URL)
path (wildcard) - nome da pgina requisita dentro do servidor (ex. o nome de uma pgina
web ou um documento que est hospedado no servidor)
method (any | connect | delete | get | head | options | post | put | trace) - Mtodo HTTP
usado nas requisies (veja a seo Mtodos HTTP no final deste documento).
action (allow | deny; default: allow) - especifica a ao de negar ou liberar os pacotes que
atravessam o web-proxy.
433
Access List
WEB - Proxy
Nota
Por padro, aconselhvel configurar uma regra para prevenir requisies nas portas
443 e 563 (conexes atravs de SSL e NEWS).
As opes dst-host e path, corresponde a uma string completa (ex.: no existir um
matching para "example.com" se for configurado apenas "example").
O uso de curingas tambm possvel: '*' (combina um nmero qualquer de caracteres)
e '? '(combina um caractere qualquer).
Expresses regulares tambm so permitidas, e devero iniciar por 2 pontos (':') como
no exemplo:
ip web-proxy access> add url=":\\.mp\[3g\]$" action=deny
434
WEB - Proxy
Lista de Gerenciamento do Cache
Submenu: /ip proxy cache
A Lista de Gerenciamento do Cache
especifica como as requisies (domnios,
servidores, pginas) sero cacheadas ou
no pelo servidor web-proxy. Esta lista lista
implementada da mesma forma que a
Lista de Acesso. A ao padro cachear
os objetos se no existir nenhuma regra.
src-address (IP address/netmask) - IP de origem do pacote.
dst-address (IP address/netmask) - IP de destino do pacote.
dst-port (port{1,10}) - uma lista de portas que o pacote destinado.
local-port (port) - especifica a porta do web-proxy, a qual, o pacote foi recebido. Este valor
dever corresponder a porta que o web-proxy est escutando.
435
Lista de Gerenciamento do Cache
WEB - Proxy
path (wildcard) - nome da pgina requisita dentro do servidor (ex. o nome de uma
pgina web ou um documento que est hospedado no servidor)
action (allow | deny; default: allow) especifica a ao a ser tomada quando um
matching ocorrer.
allow - cacheia o objeto de acordo com a regra.
deny no cacheia o objeto de acordo com a regra.
436
Lista de Acesso Direto
WEB - Proxy
Submenu: /ip proxy direct

Descrio
Quando um Parent Proxy est configurado,
possvel passar a conexo ao mesmo ou tentar
transmitir a requisio diretamente ao servidor de
destino. A lista de Acesso Direto configurada da
mesma forma que a Lista de Acesso, com
exceo do argumento da ao.
src-address (IP address/netmask) - IP de origem do pacote.
dst-address (IP address/netmask) - IP de destino do pacote.
dst-port (port{1,10}) - uma lista de portas que o pacote destinado.
local-port (port) - especifica a porta do web-proxy, a qual, o pacote foi recebido. Este valor
dever corresponder a porta que o web-proxy est escutando.
437
Lista de Acesso Direto
WEB - Proxy
path (wildcard) - nome da pgina requisita dentro do servidor (ex. o nome de uma
pgina web ou um documento que est hospedado no servidor)
Nota
action (allow | deny; default: allow) especifica a ao a ser tomada quando um
matching ocorrer.
Diferentemente da Lista de Acesso, a Lista de Acesso Direto tem a ao padro deny.
Esta ao ocorre quando no so especificadas regras nas requisies.
438
Regra de firewall para redirecionar ao web-proxy local.
WEB - Proxy
1 Utiliza-se a opo firewall nat e insere uma

nova regra para protocolo TCP e porta de
destino 80;
2 Na guia Advanced, insira uma lista de

endereos IP, os quais no sero redirecionados
ao web-proxy;
3 Na guia Action, ser a configurada a ao de
redirect para a porta 8080, onde o web-proxy
est escutando.
439
Regra de firewall para redirecionar para um web-proxy externo.
WEB - Proxy
1 Utiliza-se a opo firewall nat e insere uma

nova regra para protocolo TCP e porta de
destino 80;
2 Na guia Advanced, insira uma lista de

endereos IP, os quais no sero redirecionados
ao web-proxy;
3 Na guia Action, ser a configurada a ao de
dst-nat para o IP e a porta onde o web-proxy
externo est escutando.
440
WEB - Proxy
Lista de endereos IP, os quais no faro parte das regras de redirect ou dst-nat.
Submenu: /ip firewall adress-list
441
WEB - Proxy
Filtro de firewall para proteger o acesso ao web-proxy
Submenu: /ip firewall filter
/ip firewall filter
add action=drop chain=input comment="" disabled=no dst-port=8080 in-interface=WAN
protocol=tcp
442
Mtodos HTTP
Descrio
WEB - Proxy
OPTIONS
Este mtodo uma requisio de informaes sobre as opes da comunicao
disponvel entre o cliente e o servidor (web-proxy) identificadas por Request URI (Uniform
Resource Identifier, um termo genrico para todos os tipos de nomes e endereos aos
quais referem-se os objetos da WEB. A URL um tipo de URI). Este mtodo permite que o
cliente determine as opes e (ou) as requisies associadas a um recurso sem iniciar
qualquer recuperao da comunicao.
GET
Este mtodo recupera qualquer informao identificada pelo Request-URI. Se o
Request-URI refere-se a um processo de tratamento de dados a resposta ao mtodo GET
dever conter os dados produzidos pelo processo, e no o cdigo fonte do processo ou
procedimento(s), a menos que o cdigo fonte seja o resultado do processo.
O mtodo GET pode tornar-se um GET condicional se o pedido inclui uma
mensagem If-Modified-Since, If-Unmodified-Since, If-Match, If-None-Match ou If-Range no
cabealho do pacote. O mtodo GET condicional utilizado para reduzir o trfego de rede
com a especificao de que a transferncia da conexo dever ocorrer apenas nas
circunstncias descritas pela(s) condio(es) do cabealho do pacote.
443
Mtodos HTTP
Descrio
WEB - Proxy
O mtodo GET pode tornar-se um GET parcial se o pedido inclui uma mensagem
Range no cabealho do pacote. O mtodo GET parcial destinado a reduzir o uso
desnecessrio de rede, solicitando apenas partes dos objetos sem transferncia dos dados j
realizada pelo cliente. A resposta a uma solicitao GET pode ser cacheada somente se ela
preencher os requisitos para cache HTTP.
HEAD
Este mtodo compartilha todas as caractersticas do mtodo GET exceto pelo fato
de que o servidor no deve retornar uma message-body na resposta. Este mtodo recupera
a meta informao do objeto intrnseco requisio, que conduz a uma ampla utilizao da
mesma para testar links de hipertexto, acessibilidade e modificaes recentes.
As respostas a uma requisio HEAD podem ser cacheadas da mesma forma
que as informaes contidas nas respostas podem ser utilizadas para atualizar o cache
previamente identificados pelo objeto.
444
Mtodos HTTP
Descrio
WEB - Proxy
POST
Esse mtodo solicita que o servidor de origem aceite uma requisio do objeto,
subordinado a um novo recurso identificado pelo Request-URI. A verdadeira ao realizada
pelo mtodo POST determinada pelo servidor de origem e normalmente dependente da
Request-URI. Respostas ao mtodo POST no so cacheadas, a menos que a resposta
inclua Cache-Control ou Expires no cabealho do pacote.
PUT
Esse mtodo solicita que o servidor de destino fornea uma Request-URI. Se
existe outro objeto sob a RequestURI especificada, o objeto deve ser considerado como
atualizado sobre a verso residente no servidor de origem. Se a Request-URI no est
apontando para um recurso existente, o servidor origem devem criar um recurso com a URI.
Se a requisio passa atravs de um cache e as Request-URI identificam um ou
mais objetos no cache, essas inscries devem ser tratadas como atualizveis (antigas).
Respostas a este mtodo no so cacheadas.
445
Mtodos HTTP
Descrio
WEB - Proxy
TRACE
Este mtodo invoca remotamente um loop-back na camada de aplicao da mensagem de
requisio. O destinatrio final da requisio dever responder a mensagem recebida para
o cliente uma resposta 200 (OK) no corpo da mesma. O destinatrio final no a origem
nem o primeiro servidor proxy a receber um MAX-FORWARD de valor 0 na requisio.
Uma requisio TRACE no inclui um objeto. As respostas a este mtodo no devem ser
cacheadas.
446
Segurana de acesso em
redes sem fio
447
Segurana Rudimentar
(O que no segurana)
1 Nome de rede (SSID) escondido
Pontos de Acceso sem fio por padro fazem o
broadcast do seu SSID nos pacotes chamados
beacons. Este comportamiento puede ser
modificado no Mikrotik habilitando a opo
Hide SSID.
Fragilidades:
SSID tem de ser conhecido pelos clientes
Scanners Passivos descobrem facilmente
pelos pacores de probe requestdos clientes.
448
Segurana Rudimentar
(O que no segurana)
2 Controle de MACs
Descobrir MACs que trafegam no ar muito simples com ferramentas
apropriadas
Airopeek para Windows
Kismet, Wellenreiter, etc para Linux/BSD
Spoofar um MAC muito fcil, tanto em Linux como em Windows.
- FreeBSD :
ifconfig <interface> -L <MAC>
- Linux :
ifconfig <interface> hw ether <MAC>
449
Segurana Rudimentar
(O que no segurana)
3 Criptografia WEP
Wired Equivalent Privacy foi o sistema de criptografia inicialmente
especificado no padro 802.11 e est baseada no compartilhamento de um
segredo (semente) entre o ponto de Acesso e os clientes, usando o algortimo
RC4 para a criptografia.
Vrias fragilidades da WEP foram reveladas ao longo do tempo e
publicadas na Internet, existindo muitas ferramentas para quebrar a chave,
como:
Airodump
Airreplay
Aircrack
Hoje trivial a quebra da WEP que pode ser feita em poucos minutos com
tcnicas baseadas nas ferramentas acima.
450
Comprometendo a WEP (em definitivo )
5 Suporte muito vasto para crackear a WEP

You Tube Vdeo ( em espanhol )
http://www.youtube.com/watch?v=PmVtJ1r1pmc
451
IEEE 802.11i
Devido aos problemas apresentados pela WEP o IEEE criou o Grupo de
trabalho 802.11i cuja tarefa principal era fazer a especificao de um padro
de fato seguro.
Antes da concluso do trabalho do grupo 802.11i a indstria lanou padres
intermedirios, como o WEP+, TKIP e o WPA (Wireless Protected Access)
Em junho de 2004 o padro foi aprovado e a indstria deu o nome comercial de
WPA2.
IEEE
WEP
Indstria
(Wi-Fi Alliance)
WEP
802.11i
WEP +
TKIP
WPA
WPA2
452
Fundamentos de Segurana
Privacidade
A informao no pode ser legvel por terceiros
Integridade
A informao no pode ser alterada quando em transito.
Autenticao
AP Cliente: O AP tem que garantir que o cliente quem diz ser.
Cliente AP: O Cliente tem que se certificar que est se conectando no
AP verdadeiro. Um AP falso possibilita o chamado ataque do
homem do meio
453
Privacidade e Integridade
Tanto a privacidade como a integridade so garantidas por tcnicas de
criptografia.
O algortimo de criptografia de dados em WPA o RC4, porm
implementado de uma forma bem mais segura que na WEP. E na WPA2 utilizase o AES.
Para a Integridade dos dados WPA usa TKIP Algoritimo de Hashing
Michael e WPA2 usa CCMP (Cipher Block Chaining Message Authentication
Check CBC-MAC)
Encrypted
802.11
802.11
Header
Header
Data
MIC
454
Autenticao e distribuio de chaves
Autenticao
WPAx-EAP
(modo corporativo)
WPAx-PSK
(modo pessoal)
Mikrotik p/
Mikrotik c/
Mikrotik
Radius
Sem certificados
Certificados 2 lados
455
Fundamentos de Segurana WPAx

Autenticao
Autenticao
WPAx-EAP
(modo corporativo)
WPAx-PSK
(modo pessoal)
Mikrotik p/
Mikrotik c/
Mikrotik
Radius
Sem certificados
456
Como funciona a WPAx-PSK

AP
Client
Passhrase (PSK)
Passhrase (PSK)
PMK = f ( passphrase, SSID )
PMK = f ( passphrase, SSID )
Uma chave mestra chamada PMK

Pairwise Master Key criada por um
hash entre a semente e o SSID.
A PMK guardada no Registro do
256-bit pairwise master key (PMK)
256-bit pairwise master key (PMK)
Windows on no arquivo supplicant.conf

do Linux
Derive PTK
Outra chave chamada PTK - Pairwise
S-nounce
Derive PTK,
OK, install MIC
Check MIC
Check MIC
Transient Key criada de maneira

dinmica aps um processo de
Install Key
Install Key
Begin encrypting
Begin encrypting
handshake de 4 vias. PTK nica por

sesso
457
Utilizando WPA/WPA2 PSK

muito simples a configurao de
WPA/WPA2-PSK com o Mikrotik
WPA - PSK
Configure o modo de chave dinmico,WPA
PSK, e a chave pr combinada.
WPA2 PSK
Configure o modo de chave dinmico
WPA2, PSK, e a chave pr combinada.
As chaves so alfanumricas de 8 at
63 caracteres
458
WPA / WPA2 PSK segura ?

A maneira conhecida hoje para quebrar WPA-PSK somente por ataque de

dicionrio.
Como a chave mestra - PMK combina uma contrasenha com o SSID, escolhendo
palavras fortes torna o sucesso por ataque de fora bruta praticamente
impossvel.
http://arstechnica.com/articles/paedia/wpaProjeto na Internet para estudocracked.ars/1
de fragilidades da WPA/WPA2 PSK
Cowpatty http://sourceforge.net/projects/cowpatty
A maior fragilidade no entanto da tcnica de PSK para WISPs que a chave se

encontra em texto plano nos computadores dos clientes.
459
WPA com TKIP foi quebrada ?

Recentemente foi publicada uma quebra de WPA quando usando TKIP
http://arstechnica.com/articles/paedia/wpa-cracked.ars/1
Na verdade a vulnerabilidade no quebra a WPA com TKIP e sim permite alguns ataques
acessrios explorando essa vunerabilidade como envenenamento de arp e de cache de
DNS. Esses ataques so ineficazes quando se tem WPA forte e reciclagem rpida de
chaves.
A concluso do artigo est abaixo (em ingls):
So WPA isn't broken, it turns out, and TKIP remains mostly intact. But this exploit
based on integrity and checksums should argue for a fast migration to AES-only WiFi
networks for businesses who want to keep themselves secure against further
research in this arearesearch already planned by Tews and Beck. And now that
these two have opened the door, WPA will certainly become subject to even closer
scrutiny by thousands of others interested in this space: black-, gray-, and whitehatted.
460
WPA / WPA2 PSK segura ?

Quando o atacante tem a chave possvel:
Ganhar acesso no autorizado
Falsificar um Ponto de acesso e fazer o ataque do homem-do-meio (man-in-themiddle)
Recomendaes para WISPs

Somente use PSK se tem absoluta certeza que as chaves esto protegidas
(somente tem acesso aos equipamentos dos clientes o prprio WISP)
No se esquea que as chaves PSK esto em texto plano nos Mikrotiks (at
para usurios read-only)
Felizmente o Mikrotik apresenta uma alternativa para distribuio de chaves

WPA2 por Radius (visto mais a frente)
461

Autenticao
Autenticao
WPAx-EAP
(modo corporativo)
WPAx-PSK
(modo pessoal)
Mikrotik p/
Mikrotik c/
Mikrotik
Radius
Sem certificados
462
Diffie-Hellmann
(Without Certificates)
Side A
Secret
number
x
1.
Cada lado escolhe um nmero

secreto x g p.
2.
Lado A comea selecionando um

nmero primo muito grande (p) e
um pequeno inteiro o gerador
(g)
3.
Lado A calcula usando aritmtica

modular a chave pblica , K(a):
K(a) = g x (mod p)
4.
Lado A manda para o lado B a

chave pblica e o nmero primo
(p), e o gerador (g)
Side B
Generator
g
Prime
number
p
K(a) = gx(mod p)
K(a), g, p
463
Diffie-Hellmann
Side A
Secret
number
x
Side B
Generator
g
5.
Lado B faz um clculo similar com

a sua chave secreta e o nmero
primo e o gerador para obter sua
chave pblica.
6.
Lado B manda para lado A a cahve

pblica.
7.
Agora os dados podem calcular

uma mesma chave pr
compartilhada (que no circulou
pelo meio inseguro)
Shared key = K(b)x (mod p)
Shared key = K(a)y (mod p)
Prime
number
p
K(a) = gx(mod p)
K(a), g, p
Generator
g
Prime
number
p
Secret
number
y
K(b) = gy(mod p)
K(b)
464
Diffie-Hellmann
Side A
Secret
number
x
Side B
Generator
g
8.
Os dois clculos produzem valores

exatamente iguais, graas a
propriedade da aritmtica modular
9.
A chave calculada utilizada como

PMK e inicia o processo de
criptografia normalmente (AES
para WPA2 e RC4 para WPA)
Prime
number
p
K(a) = gx(mod p)
K(a), g, p
Generator
g
Prime
number
p
Secret
number
y
K(b) = gy(mod p)
K(b)
Key = K(b)x(mod p)
Key = K(a)y(mod p)
Same value
465
Setup with EAP-TLS No Certificates

AP Configuration
Security Profile
466
Setup with EAP-TLS No Certificates

Station Configuration
Security Profile
467
EAP-TLS sem Certificados seguro ?
Como resultado da negociao anonima resulta uma PMK que de conhecimento

exclusivo das duas partes e depois disso toda a comunicao criptografada por
AES (WPA2) o RC4 (WPA)
Seria um mtodo muito seguro se no houvesse a possibilidade de um atacante

colocar um Mikrotik com a mesma configurao e negociar a chave normalmente
como se fosse um equipamento da rede
Uma idia para utilizar essa configurao de forma segura utilizar esse mtodo,
e depois de fechado o enlace, criar um tnel criptografado PPtP ou L2TP entre os
equipamentos.
468

Autenticao
Autenticao
WPAx-EAP
(modo corporativo)
WPAx-PSK
(modo pessoal)
Mikrotik p/
Mikrotik c/
Mikrotik
Radius
Sem certificados
469
Trabalhando com Certificados

Un certificado digital um arquivo que identifica de forma
inequvoca o seu proprietrio.
Certificados so criados por instituies emissoras chamadas
de CA (Certificate Authorities)
Os Certificados podem ser :
Assinados por uma instituio acreditada (Verisign,

Thawte, etc)
ou
Certificados auto-assinados
470
Passos para implementao de EAP-TLS com Certificados

auto assinados
Passo A Criar a entidade Certificadora (CA)
Passo B Criar as requisies de Certificados
Passo C Assinar as requisies na CA
Passo D Importar os Certificados assinados para os Mikrotiks
Passo E Se necessrio, criar os Certificados para mquinas Windows
Tutoriais detalhados de como fazer isso:
http://wiki.mikrotik.com/images/2/20/AR_2007_MB_Wireless_security_Argentina_Maia.pdf
http://mum.mikrotik.com/presentations/PL08/mdbrasil.pdf
471
Mtodo EAP-TLS sem Radius (em APs e Clientes)
472
Security Profiles Mtodos de EAP
EAP-TLS
Usa Certificados
473
Security Profiles TLS Mode

verify certificates
Requer um certificado e verifica se foi
firmado por uma ~CA
dont verify certificates
Requer um Certificado, porm no verifica
no certificates
Certificados so negociados dinmicamente
com o el algortmo de Diffie-Hellman
(explicado anteriormente
474
Autenticao e distribuio de chaves
Autenticao
WPAx-EAP
(modo corporativo)
WPAx-PSK
(modo pessoal)
Mikrotik p/
Mikrotik c/
Mikrotik
Radius
Sem certificados
475
WPAx com Radius
Porta controlada
AP/NAS
Client station
Authenticator
Supplicant
Radius Server
Authentication
Server
EAP
Porta no controlada
476
EAP
EAP um protocolo para identificao de hosts ou usurios originalmente
projetado para Protocolo Ponto a Ponto (PPP)
Client station
AP/NAS
Radius Server
Authenticator
Supplicant
Authentication
Server
EAP na LAN
EAP sobre RADIUS
Suporta diferentes tipos de autenticao. Os mais comuns so:

EAP-TLS, EAP-TTLS, EAP-PEAP, EAP-LEAP, EAP-MD5 etc
477
Tipos de EAP
Authenticator
Key
Material
User
Name
In Clear
Certificate
Certificate
Yes
Yes
Yes
Username/Pwd
Certificate
Yes
No
Open
Yes
Username/Pwd
Certificate
Yes
No
Proprietary
Yes
Username/Pwd
Yes
Yes
Authentication Credentials
EAP
Type
Open/
Proprietary
Mutual
Auth
Supplicant
TLS
Open
Yes
TTLS
Open
PEAP
LEAP
478
Tipos de EAP
LEAP: (Lightweight EAP)
um protocolo proprietrio da Cisco patenteado antes mesmo da 802.11i e WPA/
baseado em nome de usurio e senha que se envia sem proteo.
Este mtodo no cuida da proteo das credenciais durante a fase de
autenticao do usurio com o servidor.
Trabalha com variados tipos de clientes, porm somente com APs da Cisco.
Ferramente para crackear LEAP: Asleap - http://asleap.sourceforge.net/
OBS: Mikrotik no suporta LEAP.
479
Tipos de EAP
PEAP: (Protected EAP) and EAP-TTLS (EAP tunneled TLS)
PEAP y TTLS so dois mtodos bastante parecidos e fazem uso de Certificados
Digitais do lado do Servidor e usurio e senha no lado cliente.
O processo segue a seguinte ordem:
1 O Servidor manda uma requisio EAP
2 Criado um tnel criptografado atravs do envio do Certificado
3 O usurio e senha passado de forma criptografada
O problema com TTLS e PEAP que possvel o ataque do homem-do-meio
OBS: A diferena entre TTLS e PEAP que PEAP compatvel com outros protocolos
como LEAP
480
Tipos de EAP
EAP-TLS (EAP Transport Layer Security)
O Mikrotik suporta EAP-TLS tanto como cliente como AP e ainda repassa esse mtodo
para um Servidor Radius
Prov o maior nvel de segurana e necessita de Certificados nos lados do Cliente e
do Servidor Radius
Os passos de como configurar e instalar certificados em um Servidor RADIUS
podem ser obtidos em:
http://wiki.mikrotik.com/images/2/20/AR_2007_MB_Wireless_security_Argentina_Maia.pdf
http://mum.mikrotik.com/presentations/PL08/mdbrasil.pdf
481
Station Configuration
Setup with EAP-TLS + Radius

Client Configuration
Security Profile
Certificate
482
AP Configuration
Setup with EAP-TLS + Radius

AP Configuration
Security Profile
483
O mtodo EAP-TLS + Radius seguro ?

No se discute que o EAP-TLS o mtodo mais seguro que se pode obter, porm h
Um ponto que se pode levantar como uma possvel fragilidade:
Client station
AP/NAS
Radius Server
Authenticator
Supplicant
Existem ataques conhecidos contra o protocolo Radius.

Se um atacante tem acesso fsico ao link entre o AP e o Radius
Authentication
Server
Atacando la entrega
da PMK
ele pode fazer ataque de fora bruta para descobrir a PMK.

Para evitar isso h vrias formas como proteger esse trecho
com um tunel L2TP ou PPtP
484
Resumo dos mtodos possveis de

implantao e seus problemas
WPA-PSK:
Chaves presentes nos clientes e acessveis aos operadores
Mtodo Sem Certificados:

Passvel de invaso por equipamento que tambem opere desse modo
Problemas com processamento
Mikrotik com Mikrotik com EAP-TLS

Mtodo seguro porm invivel economicamente e de implantao

praticamente impossvel em redes existentes.
485
Resumo dos mtodos possveis de

implantao e seus problemas
Mikrotik com Radius:

EAP-TTLS e EAP-PEAP:
Sujeito ao homem do meio e pouco disponvel nos atuais

equipamentos.
EAP-TLS
Mtodo seguro, porm tambm no disponvel na maioria dos

equipamentos. Em plaquinhas possvel implementa-los.
486
Mtodo alternativo Mikrotik

O Mikrotik na verso V3 oferece a possibilidade de distribuir uma chave WPA2 por

cliente . Essa chave configurada no Access List do AP e vinculada ao MAC
address do cliente, possibilitando que cada cliente tenha sua chave.
Cadastrar porm nos access lists, voltamos ao problema da chave ser visvel a
usurios do Mikrotik !
487
Mtodo alternativo Mikrotik

Felizmente porm o Mikrotik permite que a chave seja atribuda por Radius o que
torna muito interessante esse mtodo.
Para configurar precisamos:

Criar um perfil WPA2 qualquer
Habilitar a autenticao via MAC no AP
Ter a mesma chave configurada tanto no cliente como no Radius.
488
Configurando o Perfil
489
Configurando a Interface Wireless
490
Arquivo users: (/etc/freeradius)

# Sintaxe:
# MAC Cleartext-Password := MAC
#
Mikrotik-Wireless-Psk = Chave_PSK_de_8_a_63_caracteres
001DE05A1749
Cleartext-Password := "001DE05A1749
Mikrotik-Wireless-Psk = "12345678912
001B779ADD5D Cleartext-Password := "001B779ADD5D"

001B77AF82C9
Cleartext-Password := "001B77AF82C9"
Mikrotik-Wireless-Psk = "12345678911"
491
Radius (dictionary)
/usr/share/freeradius/dictionary.mikrotik
492
Laboratrio de PSK por cliente

O aluno que quiser participar, crie um arquivo texto no formato abaixo e
coloque no FTP com a identificao XY-PSK, onde XY seu nmero.
# Sintaxe:
# MAC Cleartext-Password := MAC
#
Mikrotik-Wireless-Psk = Chave_PSK_de_8_a_63_caracteres
#Exemplo:
001DE05A1749
Cleartext-Password := "001DE05A1749
493
Recorte de tela efetuado: 10/17/2008, 10:48 AM
Consideraes acerca de PPPoE e Hotspot

quando utilizados por provedores para segurana
494
Tuneis PPPoE
aspectos gerais
PPPoE : originalmente desenvolvido para redes cabeadas
O PPPoE Server (PPPoEd) escuta as requisies de clientes PPPoE que por
sua vz utilizam o protocolo PPPoE discovery tudo feito na camada 2
PPPoE por padro no criptografado pode ser configurado com criptografia
MPPE se o cliente suporta esse mtodo.
O mtodo CHAP protege apenas o nome de usurio e senha e nada alm disso.
495
Tneis PPPoE
aspectos gerais
A interface que escuta as requisies PPPoE no deve ter configurado Ip que

seja roteado ou para o qual esteja sendo feito NAT. Se isso ocorre possvel
burlar a autenticao PPPoE.
Como outros tneis os valores de MTU e MRU devem ser modificados.
PPPoE sensivel a variaes de sinal.
Em mquinas Windows necessrio a instalao de um discador, o que
representa trabalho administrativo.
496
PPPoE e Segurana
Un atacante que falsifique um endereo MAC em uma planta onde se rode
PPPoE no consegue navegar, porem causa muitos problemas aos usurios
verdadeiros.
.
Existem ataques a PPPoE quando falsos clientes disparam sucessivas
requisies de conexo (PPPoE discovery) causando negao de servio.
O mais grave no entanto que no PPPoE o usurio no autentica o
Servidor. Por esse motivo um ataque do tipo do homem-do-meio pode ser
facilmente implementado. Basta que o atacante ponha um AP falso em uma
posio privilegiada e configure um PPPoE Server para capturar as requisies
dos clientes. Isso pode ser usado para negar servio ou para capturar senhas.
497
Hotspots
aspectos gerais
Originalmente foram desenvolvidos para dar servio de conexo Internet em
Hotis, Shoppings, etc. Com o tempo tem sido utilizados como plataforma para
autenticar usurios de WISPs.
A interface configurada para ouvir o hotspot captura a tentativa de navegao e
pede usurio e senha.
Existem vrios mtodos de autenticao, inclusive com Certificados digitais
possvel fazea a autenticao por HTTPS.
498
Hotspots e Segurana
Uma vez que um usurio tenha sido autenticado e seu par IP + MAC seja
descoberto e falsificado por um atacante, este ganha acesso sem usurio e senha.
O ponto de acesso no v os dois, porm somente um usurio. O servio fica
precrio mas h a navegao de ambos.
Trabalhando com Certificados Digitais e HTTPS, dr-se-ia ao usurio a
possibilidade deste autenticar o ponto de acesso, evitando assim o ataque do
home-do-meio. No entanto dificilmente o usurio estar devidamente orientado
para tanto e a maioria deles aceitar um Certificado falso.
499
PPPoE & Hotspot & segurana - concluses

PPPoE tem muitas vantagens porque elimina uma srie de problemas
comuns de redes wireless como broadcasts, trafegos causados por vrus, etc.
Hotspots apresentam muitas facilidades interessantes como mandar
mensagens, criar rotas, etc.
Ambos so excelentes ferramentas para auxiliar na administrao e controle
de rede, pricipalmete quando implementados em conjunto com Radius.
PPPoE e Hotspot ajudam muito, porm no podem ser encarados como
plataformas de segurana como tem sido at ento !
Segurana em Wireless se faz somente com criptografia bem
implementada e em redes cabeadas com dispositivos com isolao de
portas.
500
Porque os WISPs no utilizam Criptografia em Wireless ?

WISPs dizem que no utilizam Criptografia pelos seguintes motivos:
Muita Complexidade
No fato. Com Mikrotik as implementaes so muito fceis
Equipamentos antigos no aceitam criptografia.

verdade, mas no Mikrotik possvel ter diversos perfis, com vrios tipos de
criptografia.
Antigos problemas da WEP fazem WPA no confivel

As tcnicas empregadas so muito diferentes e no h comparao.
Problemas de performance com a criptografia

Novos Chipsets Atheros fazem criptografia em hardware no h problemas
de performance
501
Segurana concluses (quase) finais

Segurana em meio wireless que cumpra os requisitos de:
- Autenticao mtua
- Confidencialidade
- Integridade de dados
Somente se consegue com a utilizao de uma estrutura baseada em
802.11i (WPA2) com EAP-TLS implementada con Certificados Digitais +
Radius.
Um excelente approach a utilizao de chaves Privadas WPA2-PSK
quando distribuidas pelo Radius.
Outras implementaes como a formao de VPNs entre os clientes e um
concentrador antes que seja dado o acesso rede tambem uma soluo
possvel que no foi abordada aqui pois em escala sua implementao pode se
mostrar invivel.
502
Lembre-se tambmque a senha dos rdios clientes tambm importante
503
Case MD Brasil
Pontos de acesso:
Mikrotik RB133 somente como AP Bridge c/ 3 cartes R52, mdia 25 clientes p/ carto
100% clientes com WPA2 atribuda por Radius
504
Case MD Brasil
Clientes primeiro autenticam-se por MAC + PSK individual (transaparente p/ cliente
Em seguida pedida autenticao Hotspot para cada cliente.
A opo por Hotspot nada tem a ver com a segurana. somente uma opo de negcio
OBS destaque para o uptime !
505
Case MD Brasil
Hotspot + Web Proxy rodam localmente em todos pontos de acesso com mais
concentrao de clientes.
Web-Proxys dos pontos de acesso armazenam objetos pequenos
Web-Proxy central (no Mikrotik) armazena objetos grandes.
506
Laboratrio Final
Abram um terminal
system reset-configuration
507
Obrigado !
Edson Xavier Veloso Jr.
Srgio Souza
Wardner Maia
edson@mikrotikbrasil.com.br
sergio@mikrotikbrasil.com.br
maia@mikrotikbrasil.com.br
508
ANEXO
Scripting Host e Ferramentas
Complementares do
Mikrotik
509
Scripting Host
O Mikrotik possui uma poderosa linguagem interna de Scripts
com a qual diversas aes e tarefas de manuteno podem
ser executadas a partir da ocorrencia de eventos diversos.
Os scripts podem ser executados tanto pelo agendador de
tarefas como por outras ferramentas como o monitoramento
de trfego e o netwatch.
Os comandos de configurao so comandos padro do
RouterOS e as expresses so precedidas de : a
acessveis de todos os sub-menus.
510
Scripting Host - Variveis

O Mikrotik RouterOS suporta dois tipos de variveis globais (disponveis para todo o
sistema) e locais (acessvel somente ao contexto do script). Uma varivel pode ser
referenciada pelo smbolo de $, seguido pelo nome da varivel, com excesso dos
comandos set e unset que tomam o nome da varivel sem o $.
Os nomes das variveis podem ser compostos de letras, nmeros e do smbolo -. Toda
varivel deve ser obrigatoriamente declarada antes de ser utilzada nos scripts.
Existem 4 tipos de declaraes que podem ser feitas:
global variveis globais podem ser acessadas por todos os scritpts e logins de console
no mesmo roteador. Entretanto elas no so mantidas depois de reboots
local variveis declaradas como locais no so compartilhadas com outros scripts e seu
valor perdido sempre que o script finalizado.
511

As variveis tambm podem ser declaradas como:
variveis indexadoras de loop definidas dentro de uma declarao for e foreach,
essas variveis so utilizadas apenas para um bloco do de comandos e so removidas
quando o comando completado.
variveis de monitor alguns comandos monitor que tem uma parte do tambm podem
introduzir variveis.
Para obter uma lista de variveis disponveis use o comando :environment print
possvel atribuir um novo valor a uma varivel dentro do script usando o comando :set
seguido do nome da varivel sem o $ e o novo valor. Tambm pode-se eliminar uma
varivel com :unset. Nesse caso, se a varivel local, perdida e se global fica
mantida, porm inacessvel pelo script corrente.
512

[admin@Hotspot] > :global variavel-global "abcd"
[admin@Hotspot] > :local variavel-local "1234"
[admin@Hotspot] > :put $variavel-global
abcd
[admin@Hotspot] > :put $variavel-local
1234
[admin@Hotspot] > :environment print
Global Variables
variavel-global=abcd
Local Variables
variavel-local=1234
513
Scripting Host
Inserindo os Scripts
Os scripts ficam armazenados em /system script. As propriedades so as seguintes:

Name: nome que vai ser chamado o script
Policy: so as polticas de segurana aplicveis
Run Count; quantas vezes o script rodou. Valor voltil quando o roteador
reiniciado.
Owner: usurio criador do script
Last Time Started: Data e hora da ltima execuo do scritp
A Facilidade JOB utilizada para manipular tarefas ativas o que estejam
previamente agendadas em /system scheduler
514
Scripting Host
Exemplos
Faamos um script simples para monitorar o estado
de uma interface de rede ether1 a cada 10 segundos
e fazer com que seja mandado para o log qualquer
inatividade desta.
Script para monitorar:
:global estado-da-interface;
/interface ethernet monitor ether1 once do={:set
estado-da-interface $status};
:if ($status=no link) do={log message=O link
caiu!!!!};
515
Scripting Host
Exemplos
Em seguida colocamos no Agendador de Tarefas para que dispare o script
Monitora_Lan a cada 10 segundos. Equivalente na linha de comando:
/ system script
add name="Monitora_Lan" source="{:global estado-da-interface;/interface ethernet
monitor ether1 once do={:set estado-da-interface $status};:if$\$status=no-link$ do={log
message=\"O link caiu!!!!\" }}"
/ system scheduler
add name="Monitora_Lan" on-event=Monitora_Lan start-date=jan/01/1970 starttime=00:00:00 interval=10s comment="" disabled=no
516
Para popular a tabela ARP

/ system script
add name=popula_ARP code={:foreach i in [/ip arp find dynamic=yes interface=wlan1]
do={ /ip arp add copy-from=$i }
/ system scheduler
add name=popula_ARP" on-event=Monitora_Lan start-date=jan/01/1970 starttime=00:00:00 interval=1d comment="" disabled=no
517
Scripting Host Comandos e valores de retorno

Alguns comandos so uteis quando os resultados de suas saidas podem ser utilizados
como argumentos em outros comandos. Os valores de retorno de comandos no entanto
no aparecem na tela do terminal e para serem obtidos devem ser colocados entre
colchetes[]. Aps a execuo o valor de retorno do comando ser o valor do contedo
desses colchetes. Esse procedimento chamado de substituio de comando.
Entre os comandos que produzem valores de retorno esto:
find: retorna uma referencia a um tem em particular
ping retorna o nmero de pings com sucesso,
time retorna o tempo,
inc e decr retornam o novo valor de uma varivel
add que retorna o nmero interno de um tem novo criado.
518
Scripting Host Comandos e valores de retorno

Exemplo de utilizao de find:
[admin@Hotspot] >
[admin@Hotspot] > /interface
[admin@Hotspot] interface> find type=ether
[admin@Hotspot] interface>
[admin@Hotspot] interface> :put [find type=ether]
*1
Exemplo de um comando servindo de argumento para outro:
[admin@Hotspot] interface> enable [find type=ether]
519
SCRIPTS - ANEXOS
Comandos e Operadores
520
Scripting Host Operadores

Na console do RouterOS podem ser feitos clculos simples com nmeros, endereos IPs,
Strings e listas. Para obter o resultado de uma expresso coloque os argumentos entre
parenteses
- menos unrio inverte o sinal de um dado valor.
- menos binrio subtrai dois nmeros, dois IPs ou um IP e um nmero
! NOT NO lgico. Operador unrio que inverte um dado valor booleano
/ diviso. Operador Binrio divide um nmero por outro (d um nmero como
resultado) ou divide um tempo por um nmero (d um tempo como resultado).
. concatenao. Operador Binrio concatena 2 strings ou anexa uma lista a outra, ou
ainda anexa um elemento uma lista.
^ operador XOR (OU exclusivo). Os argumentos e os resultados so endereos IP
~ inverso de bit. Operador unrio que inverte bits em um endereo IP
* multiplicao. Operador Binrio, que pode multiplicar dois nmeros ou um valor de
tempo por um nmero
521

& bitwise AND (E). Os argumentos e resultados so endereos IP
&& AND (operador booleano E). Operador Binrio os argumentos e resultados so valores
lgicos.
+ mais binrio. Adiciona dois nmeros, dois valores de tempo um nmero e um endereo IP.
< menor. Operador Binrio que compara dois nmeros, dois valores de tempo ou dois IPs.
Retorna um valor booleano.
<< deslocamento esquerda. Operador Bindio que desloca um endereo IP com um dado
tamanho de bits. O primeiro argumento o IP e o segundo um inteiro. O resultado outro IP
<= menor ou igual. Operador Binrio que compara 2 nmeros ou 2 valores de tempo ou dois
IPs. O resultado um valor booleano.
> maior. Operador Binrio que compara 2 nmeros, ou 2 valores de tempo ou dois IPs,
retornando um valor booleano
>= maior ou igual. Operador Binrio que compara 2 nmeros, ou 2 valores de tempo ou dois
IPs, retornando um valor booleano
>> - deslocamento direita. Operador Bindio que desloca um endereo IP com um dado tamanho
de bits. O primeiro argumento o IP e o segundo um inteiro. O resultado outro IP
| - bitwise OR. Os argumentos e resultados so ambos endereos IP
|| - OR (operador booleano OU). Operador Binrio. Os argumentos e resultados so valores lgicos.
522

Exemplos:
Ordem de operadores e de avaliao:
[admin@MikroTik] ip firewall rule forward> :put (10+1-6*2=11-12=2+(-3)=-1)
false
[admin@MikroTik] ip firewall rule forward> :put (10+1-6*2=11-12=(2+(-3)=-1))
true
[admin@MikroTik] ip firewall rule forward
NO lgico
[admin@MikroTik] interface> :put (!true)
false
[admin@MikroTik] interface> :put (!(2>3))
true
[admin@MikroTik] interface>
523

Exemplos:
Inverso de bits
[admin@MikroTik] interface> :put (~255.255.0.0)
0.0.255.255
Soma
[admin@MikroTik] interface> :put (3ms + 5s)
00:00:05.003
[admin@MikroTik] interface> :put (10.0.0.15 + 0.0.10.0)
cannot add ip address to ip address
[admin@MikroTik] interface> :put (10.0.0.15 + 10)
10.0.0.25
524
Scripting Host Comandos

O RouterOS apresenta vrios comandos internos de console e expresses (ICE) que no
dependem de qual diretrio se esteja no men.
Esses comandos no mudam as configuraes diretamente, mas so teis para
automatizar vrios processos de manuteno.
A lista completa das ICE pode ser acessada digitando : e em seguida dois tabs
[admin@Hotspot] interface> :
beep
execute global local put toarray tonum while
delay
find if log resolve tobool tostr
do
for len nothing set toid totime
environment foreach list pick time toip typeof
525
list lista todos comandos

resolve faz uma busca por um nome de domnio
execute roda um script em separado
local atribui um valor para uma varivel local
global declara e atribui um valor para uma varivel global
set Muda as propriedades do tem
put apresenta os argumentos na tela
while executa um comando enquanto uma condio verdadeira
if executta um comando se uma condio verdadeira
do executa um comando
time retorna o tempo que um comando levou para ser executado
for executa um comando para um range de valores inteiros
foreach executa um comando para cada um dos argumentos de uma lista
delay pausa a execuo por um determinado tempo
526

typeof retorna o tipo do valor
len retorna o nmero de elementos no valor
tostr converte um argumento para uma string
tobool converte um argumento para verdadeiro
tonum converte um argumento para um valor inteiro
totime converte um argumento para um valor de intervalo de tempo
toip -- converte um argumento para um endereo IP
toarray converte um argumento para um valor de array
nothing no faz nada e no retorna nada comando extremamente til
pick retorna um range de caracteres de strings ou valores de arrays
find Localiza items pelo valor
log manda mensagem para os logs
beep produz um sinal audvel se for suportado hardware.
environment/ -- lista de todas as variveis
527

Especiais
Monitor
possvel acessar valores que so mostrados pela maioria das aes
monitor, atravs dos Scripts. Um comando monitor que tem um
parametro do pode ser fornecido tanto pelo nome do script ( /system
scripts), ou pela execuo de comandos de console.
Get
A maior parte dos comandos print produzem valores que so acessveis a
partir dos scripts. Esses comandos print tem um correspondente comando
get no mesmo nvel de men. O comando get aceita um parametro
quando trabalhando com nmeros regulares ou dois parametros quando
trabalhando com listas
528
Scripting Host
Caracteres Especiais
# usado como comentrio. Linha ignorada

; usado para colocar mltiplos comandos em uma s linha
Caso se precise usar os caracteres especiais {}[]"'\$, como strings normais, eles
devem ser precedidos de uma barra \. Exemplo \\, significa o caracter \
\a campainha, cdigo do caracter 7
\b backspace, cdigo do caracter 8
\f alimentao de pgina, cdigo do caracter 12
\n nova linha, cdigo do caracter 10
\r enter, cdigo do caracter 13
\t tabulao, cdigo do caracter 9
\v tabulao vertical, cdigo do caracter 11
\_ espao, cdigo do caracter 32
529
Scripting Host
Exemplos
Scripts que podem ser baixados em http://wiki.mikrotik.com/wiki/Scripts
Filter a command output
Enable and Disable P2P connections
Send Backup email
Limiting a user to a given amount of traffic (using firewall)
Limiting a user to a given amount of traffic II (using queues)
Limiting a user to a given amount of traffic with user levels (using queues)
Generate bogons firewall chain based on routing-marks
Generate routes for stress testing BGP functionality
Set global and local variables
Dynamic DNS Update Script for ChangeIP.com
Reset Hotspot user count
Use SSH to execute commands (DSA key login)
Audible signal test
ECMP Failover Script
Sending text out over a serial port
Setting static DNS record for each DHCP lease
Improved Netwatch
530
Monitoramento da Rede - Netwatch

A Ferramenta Netwach monitora o estado de hosts
da rede, mandando pacotes de pings para uma
lista de endereos IP especificados.
possvel especificar para cada IP, intervalos de
ping e scripts de console, possibilitando assim que
sejam feitas aes em funo da mudana de
estado de hosts.
531

Host: Endereo IP do host que ser monitorado
Interval: Intervalo em que o host ser pingado. Por
default 1 segundo.
Timeout: Se nenhuma resposta for recebida nesse
tempo, o host ser considerado down.
Na aba Up, deve ser colocado o nome do script de
console que ser executado quando o estado do host
mudar de desconhecido ou down para up.
Na aba Down, deve ser colocado o nome do script de
console que ser executado quando o estado do host
mudar de desconhecido ou up para down
532
O estado dos hosts pode ser visto acima:

Status: up, down ou unknown (desconhecido)
Since: Indica quando o estado do host mudou pela ltima vz.
importante conhecer o nome exato das variveis de mudana de estado, pois elas sero
usadas na lgica dos scripts:
up-scritpt: nome do script que executado quando o estado muda para up
down-script: nome do script que executado quando o estado muda para down
533
Exemplo de aplicao de Netwatch

Queremos que um o gateway default de uma rede seja alterado, caso o gateway em uso
tenha problemas
[admin@MikroTik] system script> add name=gw_1 source={/ip route set { [/ip route find dst
0.0.0.0] gateway 10.0.0.1}
[admin@MikroTik] system script> add name=gw_2 source={/ip route set {[/ip route find dst
0.0.0.0] gateway 10.0.0.217}
[admin@MikroTik] system script> /tool netwatch
[admin@MikroTik] tool netwatch> add host=10.0.0.217 interval=10s timeout=998ms upscript=gw_2 down-script=gw_1
534
Monitor de Porta Serial - Sigwatch

O utilitrio Sigwatch permite o monitoramento do estado da porta serial, gerando eventos
no sistema quando h alterao do estado destas. O acesso a essa facilidade somente
pode ser feito pelo Terminal, no estando disponvel no Winbox.
Os parametros a configurar so:
name: nome do tem a ser monitorado pelo Sigwatch
on-condition: em qual situao deve ser tomada alguma ao para esse tem (default
=on):
on: dispara se o estado do pino muda para ativo
off: dispara quando o estado do pino muda para inativo
change: dispara sempre que o estado do pino muda.
535

port: nome da porta serial a monitorar
script: nome do script a disparar para esse tem
signal: nome do sinal ou nmero do pino (para DB9 padro) a monitorar (default=rts)
dtr: Data Terminal Ready (pino 4)
rts: Request to Send (pino 7)
cts: Clear to Send (pino8)
dcd: Data Carrier Detect (pino 1)
ri: Ring Indicator (pino 9)
dsr: Data Set Ready (pino 6)
536

state: ltimo estado do sinal monitorado
log: (yes|no): se deve ser adicionada uma mensagem na forma name-of-sigwatch-item:
signal changed [to high | to low] facilidade do System-Info sempre que esse tem do
sigwatch for disparado (default=no)
count: contador (s leitura) que indica o nmero de vezes que sigwatch foi ativado. Zera
quando o roteador reiniciado
OBS: O Sigwatch pode disparar um script previamente colocado em system/scripts ou seu
cdigo fonte pode ser digitado diretamente na linha de chamada do script.
537
Exemplo: Desejamos monitorar se na porta serial1 do Roteador h sinal de

CTS.
[admin@Hotspot] tool sigwatch> add name="monitor_da_serial"

port=serial0 pin=8 on-condition=change log=no
538
Traffic Monitor
A ferramenta traffic monitor utilizada para
executar scripts de console, sempre que o trfego
em uma dada interface ultrapasse um valor
determinado.
Parametros de configurao:
Name: Nome do tem
Interface: Interface que ser monitorada
Traffic: se trafego transmitido ou recebido
Threshold: limite em bps que dispara o gatilho
Trigger: Se o gatilho disparado quando o valor
ultrapassa o Threshold ou cai abaixo ou o somente
atinge (subindo ou descendo)
On Event: script a ser executado.
539
Traffic Monitor
Exemplo: Queremos monitorar o trfego entrante em um roteador com duas interfaces de
rede ether1 e ether2. Quando o trfego exceder 15kbps na ether1 vamos habilitar a
ether2, que ser desabilitada quando o trfego recuar para menos de 12kbps
- Primeiro vamos criar os scripts de subida e descida
540
Traffic Monitor
Agora vamos definir as aes: quando o trfego passa de 15kbps ativa a
interface, mas s quando cai abaixo de 12 kbps que desabilita
541
Traffic Monitor
Vamos conferir como ficou na linha de comando:
/ system script
add name="sobe_ether2" source="/interface enable ether2
add name="baixa_ether2" source="/interface disable ether2
/ tool traffic-monitor
add name="acima_de_15" interface=ether1 traffic=received trigger=above
threshold=15000 on-event=sobe_ether2
add name="abaixo_de_12" interface=ether1 traffic=received trigger=above
threshold=12000 on-event=baixa_ether2
542
Obrigado !
Edson Xavier Veloso Jr.
Srgio Souza
Wardner Maia
edson@mikrotikbrasil.com.br
sergio@mikrotikbrasil.com.br
maia@mikrotikbrasil.com.br
543

Curso Oficial Do Mikrotik

Hochgeladen von

Dokumentinformationen

Originalbeschreibung:

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Curso Oficial Do Mikrotik

Hochgeladen von

Copyright:

Verfügbare Formate

MikrotikBrasil

Um pouco sobre a MD Brasil Telecom

No mercado de Internet discada desde 1995

Primeiros links Wireless de 2mbps entre 4 cidades do Interior Paulista em 2000

Ministra treinamentos em Wireless desde 2002

Presta servios de consultoria em Wireless para provedores e empresas

Representante da Mikrotik Latvia desde 2006 representando os sistemas

Distribuidor Oficial de Hardware Mikrotik desde janeiro de 2007

Training Partner Mikrotik desde julho de 2007

1993: Primeira rede Wavelan em 915MHz em Riga, (Latvia)

O que o Mikrotik RouterOS ?

O Mikrotik RouterOS pode ser instalado utilizando:

Imagem ISO para instalao com CD

Pacotes do RouterOS - significado

Pacote principal com servios bsicos e drivers. A rigor o nico

Suporte aos servios PPP como PPPoE, L2TP, PPtP, etc

DHCP cliente e DHCP servidor

ferramentas de diagnstico, netwatch e outros utilitrios

Suporte a um tipo de placa Aironet antiga arlan

Pacote para vigilancia de conexes (exigencia legal nos EUA)

Suporte a GPS (tempo e posio)

Suporte a conexes ISDN

Suporte a display de cristal lquido

Servidor e cliente de NTP (relgio)

Pacotes do RouterOS - significado

suporte a placa Radiolan

utilitrios para routerboards

suporte a roteamento dinamico protocolos RIP, OSPF e BGP

suporte a ssh, Ipsec e conexo segura do winbox

suporte a placas sncronas Moxa, Cyclades PC300 e outras

pacote de suporte a telefonia protocolo h.323

suporte a no-breaks APC

servio de autenticao user-manager

Suporte a placas PrismII e Atheros

Suporte a placas PrismII, Atheros e Aironet com algumas features

Instalao com Netinstall

Instalao com Netinstall

Instalao com Netinstall

O processo de instalao no configura um IP no Mikrotik e o primeiro acesso pode

Interface Grfica para administrao do Mikrotik

Clique para encontrar o Mikrotik

Configurao no modo seguro

Operando no modo seguro

Configurao no modo seguro

Configurao no modo seguro

Se o pacote no tiver sido instalado, para

Para efetuar o Backup, basta ir em

Verso 2.9 ou verso 3.x ??

Linux Kernel 2.4.31

Compatibilidade de Hardware na v3:

Dvidas e esclarecimentos adicionais sobre

Nivelamento de conceitos bsicos de Redes TCP/IP

Camadas 5, 6 e 7 (sesso, apresentao e aplicao)

Camada 4 (garante o transporte dos dados TCP e UDP )

Camada 2 (detecta/corrige erros, controla fluxo, end.. fsico)

Camada 1 (conexes fsicas da rede, como cabos, wireless)

Exemplo de configurao da camada

Exemplo de configurao fsica

No AP Central: criar uma Bridge entre as interfaces Wireless

Camada III - Rede

um protocolo cujas funes principais so:

Endereo de rede calculado 200.200.200.0

Resultados iguais Mesma Rede = 200.200.200.0