Treinamento oficial

MikroTik
Módulo MTCNA
(MikroTik Certified Network Associate)
Módulos MikroTik

1- Introdução 2
 Agenda

Treinamento das 08:30hs às 18:30hs

Coffe break as 16:00hs

Almoço as 12:30hs – 1 hora de duração

1- Introdução 3
 Agenda

Conteúdo do MTCNA:
Conteúdo bônus:
Configuração básica; Revisão TCP/IP;
Gerencia de redes; Load Balance;
Bridges Failover;
Roteamento estático; Introdução ao OSPF;
Wireless; Hotspot;
Firewall; Web Proxy.
QoS e Controle de banda;
Túneis e VPNs.

1- Introdução 4
 Importante

Curso oficial: Proibido ser filmado ou gravado.

Celular: Desligado ou em modo silencioso.

Perguntas: Sempre bem vindas.

Internet: Evite o uso inapropriado.

Aprendizado: Busque absorver conceitos.

Evite conversas paralelas.

Deixe habilitado somente a interface ethernet de
seu computador.

1- Introdução 5
 Apresente-se a turma

Diga seu nome.

Com que trabalha.

Seu conhecimento sobre o RouterOS.

Seu conhecimento com redes.

1- Introdução 6
 Objetivos do curso

Abordar todos os tópicos necessários para o
exame de certificação MTCNA.

Prover um visão geral sobre o MikroTik
RouterOS e as RouterBoards.

Fazer uma abordagem simples e objetiva com
a maioria das ferramentas que o MikroTik
RouterOS dispõe para prover boas soluções.

1- Introdução 7
 Onde está a MikroTik ?

MikroTik(MK): Empresa

Roterboard(RB):Hardware

RouterOS(ROS): Software

1- Introdução 8
 Oque são Routerboards?

Hardware criado pela MikroTik.

Atende desde usuários domésticos até grandes empresas.

Hardware relativamente barato se comparado com outros fabricantes.

Possui atualmente mais de 100 modelos de Roteadores e Switchs.

Veja abaixo algum modelos.

Uso doméstico e Soho Empresas de médio porte

Empresas de médio porte
Wireless integrado Wireless integrado

RB 951 RB 750r2 RB 951G

Empresas de médio porte Grandes empresas

Montável e Rack 72 núcleos de processamento

RB 2011 RB 2011
CCR 1072
Nomenclatura das routerboards
Serie 400

RB 450 0 ou nenhuma wireless

5 interfaces ethernet

3 slots p/ wireless

Serie 400

RB 433
3 interfaces ethernet

1- Introdução 10
 RouterOS

RouterOS além de estar disponível para Routerboards
também pode ser instalado em hardware x86.

RouterOS é o sistema operacional das Routerboards e que
pode ser configurado como:

Roteador

Controlador de conteúdo (Web-proxy)

Controlador de banda (Queues)

Controlador de fluxo para QoS(Firewall mangle + Queues)

Firewall (camada 2,3 e 7)

Access Point wireless 802.11a/b/g/n (o hardware deve possuir
wlan)

Outros

1- Introdução 11
 Winbox

Winbox é uma utilitário usado para acessar o
RouterOS via MAC ou IP.

Usuário padrão é “admin” e senha vazio.

1- Introdução 12
 Primeiros passos

Conecte o cabo de rede na interface 3 da
routerboard e ligue ao seu computador.

Caso você não tenha o utilitário winbox no seu
computador faça o seguinte:
– Altere seu computador para “Obter endereço IP
automaticamente”.
– Abra o navegador e digite 192.168.88.1.
– No menu a esquerda clique na ultima opção (logout).
– Agora na pagina de login , clique sobre o aplicativo
winbox e salve no seu computador.

1- Introdução 13
 Resetando seu router

Abra o winbox clique em

Clique no endereço MAC ou IP.

No campo Login coloque “admin”.

No campo Password deixe em branco.

Clique em connect.

Nos Menus a esquerda clique em “New Terminal”.

Com terminal aberto digite:
system reset-configuration no-defaults=yes
Dica: Ao digitar comandos no terminal use a tecla [TAB] para auto completar.

1- Introdução 14
 Diagrama da rede

Lembre-se de seu número: XY

1- Introdução 15
Identificando seu roteador

1- Introdução 16
 Configuração básica

Conectando seu router a um ponto de acesso

Configurando endereço de IP

Configurando mascara de sub-rede

Configurando DNS

Configurando Gateway (rota default)

Configurando seu computador

Realizando testes de conectividade

1- Introdução 17
 Renomeando suas interfaces

Renomeie suas interface conforme a imagem
abaixo.

1- Introdução 18
Conectando seu router a um ponto de
acesso

Configuração da interface wireless

1- Introdução 19
 Configurando IP na interface de WAN

Adicione os IP na interface de WAN

1- Introdução 20
 Teste de conectividade
1) Pingar a partir da Routerboard o seguinte IP: 172.25.X.254

2) Pingar a partir da Routerboard o IP de WAN dos integrantes

de seu grupo.

3) Pingar a partir da Routerboard o IP de WAN dos integrantes

de outro grupo.

4) Pingar a partir da Routerboard o seguinte IP: 8.8.8.8

1- Introdução 21
 Configuração do roteador

Adicione a rota padrão

1- Introdução 22
 Teste de conectividade
1) Pingar a partir da Routerboard o IP de WAN dos integrantes
de outro grupo.

2) Pingar a partir da Routerboard o seguinte IP: 8.8.8.8

3) Pingar a partir da Routerboard o seguinte endereço: uol.com

1- Introdução 23
 Configuração do roteador

Adicione o servidor DNS

Teste novamente o ping para: uol.com

Quando você checa a opção “Alow remote requests”, você está

habilitando seu router como um servidor de DNS.
1- Introdução 24
 Configurando IP na interface de LAN

Adicione os IP na interface de LAN

1- Introdução 25
Configure seu Notebook

1- Introdução 26
 Teste de conectividade
1) Pingar a partir do notebook o seguinte IP: 10.X.Y.1

2) Pingar a partir do notebook o seguinte IP: 8.8.8.8

3) Pingar a partir do notebook o seguinte endereço: uol.com

4) Analisar os resultados.

1- Introdução 27
Adicionando uma regra de source nat

Adicionar uma regra de NAT, mascarando as
requisições que saem pela interface wlan1.

1- Introdução 28
 Teste de conectividade

Efetuar os testes de ping a partir do notebook.

Analisar os resultados.

Efetuar os eventuais reparos.

Após a confirmação de que tudo está
funcionando, faça o backup da routerboard e
armazene-o no notebook. Ele será usado ao
longo do treinamento.

1- Introdução 29
 Faça um backup

Clique no menu Files e depois em Backup para salvar
sua configurações.

Arraste o arquivo que foi gerado para seu computador.

1- Introdução 30
 Instalação do RouterOS
Porque é importante saber instalar o
RouterOS?

Necessário quando se deseja utilizar um hardware próprio.

Assim como qualquer S.O. o RouterOS também pode

corromper o setor de inicialização (geralmente causado por
picos elétricos).

Necessário quando se perde o usuário e senha de acesso ao

sistema.

1- Introdução 31
 Instalação do RouterOS

Assim como qualquer sistema operacional o RouterOS precisa
ser instalado(em routerboards já vem instalado por padrão) ,
as duas principais maneiras de instalar o ROS são:

ISO botável (imagem)

Via rede utilizando o Netinstall

1- Introdução 32
 Download
http://www.mikrotik.com/download

1- Introdução 33
 Download

No link acima você pode fazer o download das imagens ISO ou

do arquivo contendo todos os pacotes.

Sempre ao fazer o download fique atento a arquitetura de

hardware (mipsbe, mipsle,x86).

Obs: Nunca instale versões de teste em roteadores em

produção sempre selecione versões estáveis.

1- Introdução 34
 Instalando pela ISO

Em caso de você estar utilizando uma maquina física grave a
ISO em um CD e ajuste a sequencia de boot para CD/DVD.

1- Introdução 35
 Instalando via netinstall em
routerboards

Para instalar o RouterOS em uma Routerboard, inicialmente
temos que acessar a routerboard via interface serial e alterar a
sequencia de inicialização para ethernet (placa de rede).

Caso a Routerboard não possua interface serial a sequencia de

inicialização poderá ser alterada segurando o botão de reset.
Veja abaixo.

Dica

O botão de reset tem duas funções:

1º - Resetar a configuração de fabrica

Mantenha o botão pressionando durante o boot até os LED’s começarem a
piscar(solte o botão assim que o LED começar a piscar)

2º - Alterar sequencia de boot para instalação via NetInstall

Mantenha o botão pressionando durante o boot por um tempo maior até os LED’s
pararem de piscar então solte o botão e use o manual de instalação via NetInstall

1- Introdução 36
 Pacotes do RouterOS

System: Pacote principal contendo os serviços básicos e drivers. A rigor é o único
que é obrigatório.

PPP: Suporte a serviços PPP como PPPoE, L2TP, PPTP, etc..

DHCP: Cliente, Relay e Servidor DHCP.

Advanced-tools: Ferramentas de diagnóstico, netwatch e outros utilitários.

HotSpot: Suporte a HotSpot.

NTP: Servidor de horário oficial mundial.

IPv6: Suporte a endereçamento IPv6

MPLS: Suporte a MPLS

Routing: Suporte a roteamento dinâmico.

Security : IPSEC, SSH, Secure WinBox.

Dica

- Não é possível adicionar drivers ou qualquer outro tipo de pacote que não seja criado diretamente pela MikroTik.

1- Introdução 37
 Lista completa de pacotes do RouterOS
Package
advanced-tools (mipsle, mipsbe, ppc,
x86)
calea (mipsle, mipsbe, ppc, x86)
dhcp (mipsle, mipsbe, ppc, x86)
gps (mipsle, mipsbe, ppc, x86)
hotspot (mipsle, mipsbe, ppc, x86)
ipv6 (mipsle, mipsbe, ppc, x86)
mpls (mipsle, mipsbe, ppc, x86)
multicast (mipsle, mipsbe, ppc, x86)
ntp (mipsle, mipsbe, ppc, x86)
ppp (mipsle, mipsbe, ppc, x86)
routerboard (mipsle, mipsbe, ppc, x86) accessing and managing RouterBOOT. RouterBOARD
routing (mipsle, mipsbe, ppc, x86)
security (mipsle, mipsbe, ppc, x86)
system (mipsle, mipsbe, ppc, x86)
http://wiki.mikrotik.com/wiki/Manual:System/Packages
Features ups (mipsle, mipsbe, ppc, x86) APC ups
advanced ping tools. netwatch, ip-scan, sms tool, wake-
user-manager (mipsle, mipsbe, ppc, x86) MikroTik User Manager
on-LAN
data gathering tool for specific use due to wireless (mipsle, mipsbe, ppc, x86) wireless interface support
"Communications Assistance for Law Enforcement Act" in arlan (x86) legacy Aironet Arlan support
USA isdn (x86) ISDN support
Dynamic Host Control Protocol client and server
lcd (x86) LCD panel support
Global Positioning System devices support radiolan (x86) RadioLan cards support
HotSpot user management synchronous (x86) FarSync support
xen ( discontinued x86) XEN Virtualization
IPv6 addressing support kvm (x86) KVM Virtualization
Multi Protocol Labels Switching support routeros-mipsle (mipsle) combined package for mipsle (RB100,
RB500) (includes system, hotspot, wireless,
Protocol Independent Multicast - ppp, security, mpls, advanced-tools, dhcp,
Sparse Mode; Internet Group Managing Protocol - Proxy routerboard, ipv6, routing)
routeros-mipsbe (mipsbe) combined package for mipsbe (RB400)
Network protocol client and service (includes system, hotspot, wireless, ppp,
MlPPP client, PPP, PPTP, L2TP, PPPoE, ISDN PPP clients security, mpls, advanced-tools, dhcp,
and servers
routerboard, ipv6, routing)
specific imformation. routeros-powerpc (ppc) combined package for powerpc (RB300,
dynamic routing protocols like RIP, BGP, OSPF and routing RB600, RB1000) (includes system, hotspot,
utilities like BFD, filters for routes. wireless, ppp, security, mpls, advanced-tools,
dhcp, routerboard, ipv6, routing)
IPSEC, SSH, Secure WinBox routeros-x86 (x86) combined package for x86 (Intel/AMD PC,
RB230) (includes system, hotspot, wireless,
basic router features like static routing, ip addresses,
ppp, security, mpls, advanced-tools, dhcp,
sNTP, telnet, API, queues, firewall, web proxy, DNS
cache, TFTP, IP pool, SNMP, packet sniffer, e-mail send routerboard, ipv6, routing)
tool, graphing, bandwidth-test, mpls-test (mipsle, mipsbe, ppc, x86) Multi Protocol Labels Switching support
torch, EoIP, IPIP,bridging, VLAN, VRRP etc.). Also, for improvements
RouterBOARD platform - MetaROUTER | Virtualization
routing-test (mipsle, mipsbe, ppc, x86) routing protocols (RIP, OSPF, BGP)
improvements
1- Introdução 38
 Gerenciando pacotes

Você pode habilitar e desabilitar pacotes em:

1- Introdução 39
Mac-telnet

1- Introdução 40
 MNDP
MikroTik Neighbor Discovery protocol

Protocolo para descoberta de vizinhos.

1- Introdução 41
 Outros modos de acesso

Após configurar um endereço de IP no
RouterOS existem outros modos de acesso.

SSH

FTP

Telnet

Web

1- Introdução 42
SSH e telnet

1- Introdução 43
 FTP

Usado para transferir arquivos.

1- Introdução 44
 WEB

O acesso via web traz quase todas as funções
existentes no winbox.

1- Introdução 45
 Upgrade do RouterOS

Faça download de Upgrade package (.npk).

Arraste para dentro de Files no winbox e
reinicie seu router.

4
1- Introdução
6 46
 Atualizando a RB

Faça download do pacote .npk.

Envie o pacote para sua Routerboard
usando o winbox ou via FTP.

Reinicie o roteador.

Confira se a nova versão foi instalada.

Novas versões estão disponíveis no site.
http://www.mikrotik.com/download

4
1- Introdução
7 47
 Atualizando a RB

Certifique se que sua routerboard tem conectivade
com a internet.

Cliquem em System=> Packages=> Check for Updates

1- Introdução 48
 Upgrade de firmware

Para fazer upgrade de firmware clique em:

1- Introdução 49
 Níveis de licença

O RouterOS trabalha com níveis de licença isso significa que
cada nível lhe oferece um numero X de recursos.

A chave de licença é gerada sobre um software-id fornecido
pelo sistema.

A licença fica vinculada ao HD ou Flash e/ou placa mãe.

A formatação com outras ferramentas muda o software-id
causa a perda da licença.

1- Introdução 50
Níveis de licença

1- Introdução 51
 NTP

As routerboard não tem fonte de alimentação
interna, portanto sempre que o hardware for
desligado sistema perde a data e a hora, isso vem
a ser um grande problema quando é necessário
analisar os logs.

Para que seu equipamento fique

sempre com a data e hora correta
devemos usar o cliente NTP
(Network time protocol).

1- Introdução 52
Configurando Cliente NTP

1- Introdução 53
Ajustando fuso horário

1- Introdução 54
 Backup

Existem duas maneiras de se realizar backup do
sistema:

Backup comum = Salva todo o conteúdo do router em
um arquivo criptografado que não pode ser
editado(salva inclusive os usuários e senhas de login
no router).

Backup com comando export = Você pode exportar
um backup completo ou apenas uma parte. Com esse
tipo de backup o arquivo gerado não é criptografado e
pode ser aberto por qualquer editor de texto(não
exporta dados de usuários e senhas de login no
router).

1- Introdução 55
 Diferença entre os dois backups

Backup comum Comando export

Criptografado X
Permite colocar senha X
Carrega usuários de acesso ao router X
Carrega usuários PPP, hotspot e outros X X
Possível editar X
Compatível com hardware diferente X
Possibilidade de exportar e importar por partes X

1- Introdução 56
 Backup comum

Observe que o arquivo gerado recebe o

identificação do router mais as informações de
data e hora.
1- Introdução 57
Localizando e editando backup

Após o comando
“export file=bkp_router_XY compact”
O arquivo gerado está no menu files.

Após transferir o arquivo para

sua maquina ele poderá ser
editado pelo bloco de notas.

1- Introdução 58
 Backup

Faça os dois tipos de backup.

Arraste os dois backups para seu computador
e tente abrir com o bloco de notas e observe o
resultado

1- Introdução 59
 Modo seguro

O MikroTik permite o acesso ao sistema através do “modo seguro”.
Este modo permite desfazer as configurações modificadas caso a
sessão seja perdida de forma automática. Para habilitar o modo
seguro pressione “CTRL+X” ou na parte superior clique em Safe
Mode.

1- Introdução 60
 Modo seguro

Se um usuário entra em modo seguro, quando já há
um nesse modo, a seguinte mensagem será dada:
“Hijacking Safe Mode from someone – unroll/release/
– u: desfaz todas as configurações anteriores feitas em modo
seguro e põe a presente sessão em modo seguro
– d: deixa tudo como está
– r: mantém as configurações no modo seguro e põe a
sessão em modo seguro. O outro usuário receberá a
seguinte mensagem:
“Safe Mode Released by another user”

1- Introdução 61
Dúvidas e perguntas ?

1- Introdução 62
Modelo OSI, TCP/IP
e
protocolos
2 - OSI, TCP/IP e protocolos 63
 Um pouco de historia

1962 – Primeiras comunicações em rede.

1965 – Primeira comunicação WAN.

1969 – Desenvolvido o TCP.

1978 – Vários padrões de comunicação.

1981 – Inicio de discussões sobre padronizações.

1984 – Chegada do modelo OSI

Siglas
ISO - International Organization for Standardization
OSI - Open Systems Interconnection
2 - OSI, TCP/IP e protocolos 64
 Modelo OSI vs TCP/IP
Modelo OSI Modelo TCP/IP
Modelo usado para estudos Modelo usado na prática

2 - OSI, TCP/IP e protocolos 65

Um pouco mais sobre o modelo OSI

Os dados são gerados na camada de aplicação, e a partir
de então serão encapsulados camada por camada até
chegar a camada física onde serão transformados em
sinais (elétricos ,luminosos etc...)

Em cada camada são adicionados cabeçalhos. Veja abaixo

os tipos de informações que são imputadas em cada
cabeçalho.

Cabeçalho possui porta (TCP/UDP) de origem e destino

Cabeçalho possui IP de origem e destino

Cabeçalho possui MAC de origem e destino

2 - OSI, TCP/IP e protocolos 66

Encapsulamento

1- Introdução 67
 Encapsulamento
Dados Camada 7 aplicação - Dados

Camada 4 transporte - Portas

Camada 3 rede - IP

Camada 2 enlace - MAC

2 - OSI, TCP/IP e protocolos 68

 PDU - Protocol data unit

Protocol data unit ou em português Unidade de
dados de protocolo em telecomunicações
descreve um bloco de dados que é transmitido
entre duas instâncias da mesma camada.

Camada PDU
4 - Camada de transporte Segmento
3 - Camada de rede Pacote
2 - Camada de enlace Quadro ou trama (frame)
1 - Camada física Bit

2 - OSI, TCP/IP e protocolos 69

 1 - Camada física

A camada física define as características técnicas
dos dispositivos elétricos.

É nesse nível que são definidas as especificações

de cabeamento estruturado, fibras ópticas, etc...

Banda, frequência e potencia são grandeza que

podemos alterar diretamente na camada 1.

2 - OSI, TCP/IP e protocolos 70

 2 - Camada de enlace

Camada responsável pelo endereçamento físico, controle de acesso ao
meio e correções de erros da camada I.

Endereçamento físico se faz pelos endereços MAC (Controle de Acesso ao

Meio) que são únicos no mundo e que são atribuídos aos dispositivos de
rede.

Switchs, bridges ,ethernets e PPP são exemplos de dispositivos que

trabalham em camada II.

NÃO separa os domínios de broadcast.

PPPoE, DHCP, ARP e outros protocolos se propagam pelo domínio de

broadcast.

2 - OSI, TCP/IP e protocolos 71

 Criando uma bridge

Podemos resumir um bridge como um switch virtual.

Roteador
Bridge1

1 2 3 4 5 wlan1

2 - OSI, TCP/IP e protocolos 72

Adicionando interfaces na bridge

Roteador
Bridge1

1 2 3 4 5 wlan1

2 - OSI, TCP/IP e protocolos 73

 Endereço MAC

É o único endereço físico de um dispositivo de
rede.

É usado para comunicação com a rede local.

Exemplo de endereço MAC:

00:0C:42:00:00:00

2 - OSI, TCP/IP e protocolos 74

 3 - Camada de rede

Responsável pelo endereçamento lógico dos pacotes.

Determina que rota os pacotes irão seguir para atingir o destino baseado em
fatores tais como condições de tráfego de rede e prioridade.

Separa domínios de broadcast.

PPPoE, DHCP, ARP e outros protocolos NÃO se propagam em domínio de

broadcast diferentes.

2 - OSI, TCP/IP e protocolos 75

 4 - Camada de transporte

Quando no lado do remetente, é responsável por
pegar os dados das camadas superiores e dividir
em pacotes para que sejam transmitidos para a
camada de rede.

No lado do destinatário, pega os pacotes

recebidos da camada de rede, remonta os dados
originais e os envia para à camada superior.

Estão na camada IV: TCP, UDP, RTP

2 - OSI, TCP/IP e protocolos 76

 Estado das conexões

É possível observar o estado das conexões no MikroTik no menu Connections
(IP=>Firewall=>Connections).

Essa tabela também é conhecida como conntrack. Muito utilizada para analises
e debugs rápidos.

2 - OSI, TCP/IP e protocolos 77

 5 - Camada de sessão

Administra e sincroniza diálogos entre dois
processos de aplicação.

Une duas entidades para um relacionamento
e mais tarde as desune. (ex. de união:
login/autenticação e desunião: logoff).

Controla troca de dados, delimita e sincroniza
operações em dados entre duas entidades.

2 - OSI, TCP/IP e protocolos 78

 6 - Camada de apresentação

A principal função da camada de apresentação é
assegurar que a informação seja transmitida de tal
forma que possa ser entendida e usada pelo
receptor.

Este nível pode modificar a sintaxe da mensagem,

sempre preservando sua semântica.

O nível de apresentação também é responsável por

outros aspectos da representação dos dados, como
criptografia e compressão de dados.

2 - OSI, TCP/IP e protocolos 79

 7 - Camada de aplicação

Muito confundem aplicação com aplicativo.

Usuário interagem com o aplicativo e o
aplicativo interage com protocolos da camada
de aplicação( HTTP, SMTP, FTP, SSH, Telnet ...).

HTTP
HTTPS
DNS

2 - OSI, TCP/IP e protocolos 80

 O datagrama

Dados Camada 7 aplicação - Dados

Dados Camada 4 transporte - Portas

Dados Camada 3 rede - IP

Dados Camada 2 enlace - MAC

2 - OSI, TCP/IP e protocolos 81

Protocolos

2 - OSI, TCP/IP e protocolos 82

 Endereço IP

É o endereço lógico de um dispositivo de rede.

É usado para comunicação entre redes.

Endereço IPv4 é um numero de 32 bits divido

em 4 parte separado por pontos.

Exemplo de endereço IP: 200.200.0.1.

2 - OSI, TCP/IP e protocolos 83

 Sub Rede

Como o próprio no já diz (sub rede)é a uma parte de rede ou seja uma rede que foi
dividida.

O tamanho de uma sub rede é determinado por sua máscara de sub rede.

O endereço de IP geralmente é acompanhado da mascara de sub rede.

Com esses dois dados (Endereço IP e mascara de sub rede) podemos dimensionar onde
começa e onde termina nossa sub rede.

Exemplo de mascara de sub rede: 255.255.255.0 ou /24.

O endereço de REDE é o primeiro IP da sub rede.

O endereço de BROADCAST é o último IP da sub rede.

Esses endereços(Rede e broadcast) são reservados e não podem ser usados.

End IP/Mas 10.1.2.3/8 10.1.2.3/16 10.1.2.3/24

End de Rede 10.0.0.0 10.1.0.0 10.1.2.0
End de Broadcast 10.255.255.255 10.1.255.255 10.1.2.255

2 - OSI, TCP/IP e protocolos 84

 Protocolos - IP

Usado para identificar logicamente um host.

Possui endereços públicos e privados.

Possui duas versões IPv4 (quase esgotado) e IPv6.

2 - OSI, TCP/IP e protocolos 85

 Protocolos - ARP

ARP – Address resolution protocol ou simplesmente
protocolo de resolução de endereços.

Como o próprio nome sugere esse protocolo consegue
resolver(encontrar) o endereço MAC através do
endereço de IP e após feito isto o coloca em uma
tabela.

2 - OSI, TCP/IP e protocolos 86

 Como ARP funciona

Quando o dispositivo H1 precisa enviar dados para H2 que está no
mesmo segmento de rede , o dispositivo H1 precisa descobrir o
endereço MAC de H2.Então o protocolo ARP envia uma requisição para
todos os diapositivos(MSG-01).

Então o host que com endereço de IP apropriado(H2) responde com o
dado solicitado (MSG-02).

Então o dispositivo H1 recebe o endereço MAC e se prepara para o
próximo passo para transmitir dados para H2.
MSG-02
Sou eu e meu MAC
MSG-01 é 00:00:00:11:11:02
Quero saber o
MAC do host
com IP
10.11.11.2
10.11.11.2/24
00:00:00:11:11:02
10.11.11.1/24
00:00:00:11:11:01
10.11.11.3/24
00:00:00:11:11:03

2 - OSI, TCP/IP e protocolos 87

 Protocolos - UDP / TCP
UDP
Serviço sem conexão; nenhuma sessão é
estabelecida entre os hosts.
O UDP não garante ou confirma a entrega
nem sequencia os dados.
O UDP é rápido, requer baixa sobrecarga e
pode oferecer suporte à comunicação
ponto a ponto e de ponto a vários pontos.
2 - OSI, TCP/IP e protocolos
TCP
Serviço orientado por conexão; uma sessão
é estabelecida entre os hosts.
O TCP garante a entrega usando
confirmações e entrega sequenciada dos
dados.
O TCP é mais lento, requer maior
sobrecarga e pode oferecer suporte apenas
à comunicação ponto a ponto.
88
 Protocolos - ICMP

Internet Control Message Protocol ou protocolo de
mensagens de controle da Internet é usado para relatar
erros e trocar informações de status e controle.

Geralmente usamos aplicativos que utilizam o protocolo
ICMP para sabermos se um determinado host esta
alcançável e/ou qual é a rota para aquele host(ping e
tracert).

2 - OSI, TCP/IP e protocolos 89

 DHCP

2 - OSI, TCP/IP e protocolos 90

Perguntas ?

2 - OSI, TCP/IP e protocolos 91

Roteamento

6 - Roteamento 92
 O que é roteamento

Em termos gerais, o
roteamento é o
processo de encaminhar
pacotes entre redes
conectadas.

Para redes baseadas em TCP/IP, o roteamento faz

parte do protocolo IP.

Para que o roteamento funcione ele trabalha em
combinação com outros serviços de protocolo.
6 - Roteamento 93
Quando o processo roteamento é utilizado?

Sempre que dois hosts em redes distintas
precisarem se comunicar, eles irão depender de
um roteador para que tal comunicação ocorra.

192.168.1.201/24

192.168.1.1/24
192.168.20.1/24 192.168.20.2/24

192.168.1.202/24 Exemplo 1 Exemplo 2

Não necessita de roteamento Necessita de roteamento
Origem Destino Origem Destino
192.168.1.201 192.168.1.202 192.168.1.201 192.168.20.2

6 - Roteamento 94
 Tipos de rotas

/ip route print

Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit

2- Introdução ao roteamento 95
 Funcionamento padrão
192.168.1.200 192.168.1.1 187.15.15.134 8.8.8.8

Pacote IP
Origem Destino
192.168.1.99 8.8.8.8 Tabela de rotas
Tudo que for Encaminhe para
destinado a: o roteador:

Quando um pacote chega a (Dst. Address) (Gateway)
um roteador ele consulta 0.0.0.0/0 192.168.1.1

sua tabela de rotas para 10.10.10.0/24 192.168.4.1

verificar se existe uma 10.172.0.0/23 10.172.4.1

entrada para o destino 8.8.0.0/16 10.172.5.1

solititado.
6 - Roteamento 96
 Na tabela de rotas

Para cada encaminhamento o roteador faz um leitura
completa da tabela de rotas.

Se o roteador encontrar mais de uma rota para o destino

solicitado ele sempre irá utilizar a rota mais especifica.
Tabela de rotas

A rota defult será utilizada Dst. Address Gateway

sempre que não houver uma 0.0.0.0/0 192.168.1.1

rota mais especifica para o 8.0.0.0/8 10.172.6.1

determinado destino. 8.8.0.0/16 10.172.5.1

6 - Roteamento 97
 Diagrama simples para roteamento

1.1.1.1/30 1.1.1.2/30
R1 R2
10.1.1.1/24 10.2.2.1/24

Rede 1 Rede 2
10.2.2.0/24
10.1.1.0/24

10.2.2.2/24
10.1.1.2/24
Roteamento

6 - Roteamento 98
 Criando as rotas
Rota em R1 Rota em R2
para alcançar a rede 2 para alcançar a rede 1

6 - Roteamento 99
Perguntas ?

6 - Roteamento 100
Wireless no Mikrotik

5 - Wireless 101
 Configurações Físicas
Padrão IEEE Frequência Largura de Velocidade máx
banda máxima
802.11b 2.4Ghz 20Mhz 11 Mbps

802.11g 2.4Ghz 20Mhz 54 Mbps

802.11a 5Ghz 20Mhz 54 Mbps

802.11n 2.4Ghz e 5 Ghz 40Mhz 300 Mbps

802.11ac 5 Ghz 80Mhz 866 Mbps

5 - Wireless 102
 Tipos de enlaces

Ponto a ponto
AP Station

Ponto multi-ponto
Station

AP 60 ° Station

Station

5 - Wireless 103
 Interface wireless – Modo de operação

ap bridge: Modo de ponto de acesso. Repassa os MACs do meio wireless de forma

transparente para a rede cabeada.

bridge: O mesmo que o o modo “ap bridge” porém aceitando somente um cliente.

station: Modo cliente de um ap. Não pode ser colocado em bridge com outras
interfaces.

station bridge: Faz um bridge transparente porém só pode ser usado para se
conectar a um AP Mikrotik.

5 - Wireless 104
 MIMO

MIMO: Multiple Input and Multiple Output

5 - Wireless 105
 Potências

Quando a opção “regulatory domain” está habilitada, somente as frequências

permitidas para o país selecionado em “Country” estarão disponíveis. Além disso o
MikroTik ajustará a potência do rádio para atender a regulamentação do país,
levando em conta o valor em dBi informado em “Antenna Gain”.

5 - Wireless 106
 Espalhamento espectral

1 3 5 7 9 11
2412 2422 2432 2442 2452 2462
+
20Mhz

2402 2412 2422 2432 2442 2452 2462 2472

5 - Wireless 107
 Canalização – 5Mhz e 10Mhz

Menor troughput

Maior número de canais

Menor vulnerabilidade a interferências

Requer menor sensibilidade

Aumenta o nível de potência de tx

5 - Wireless 108
Canalização – 20Mhz, 40Mhz e 80Mhz

Maior troughput

Menor número de canais

Maior vulnerabilidade a interferências

Requer maior sensibilidade

Diminui o nível de potência de tx

5 - Wireless 109
 Data Rates

A velocidade em uma rede wireless é definida pela modulação que os dispositivos
conseguem trabalhar.

Supported Rates: São as velocidades de dados entre o AP e os clientes.

Basic Rates: São as velocidades que os dispositivos se comunicam independentemente

do tráfego de dados (beacons, sincronismos, etc...)

5 - Wireless 110
802.11n - Velocidades nominais

5 - Wireless 111
 Ferramentas de Site Survey - Scan

A -> Ativa

B -> BSS

P -> Protegida

R -> Mikrotik

Escaneia o meio. Obs.: Qualquer operação de site survey causa queda das
conexões estabelecidas.

5 - Wireless 112
 Ferramentas de Site Survey – Uso de
frequências

Mostra o uso das frequências

em todo o espectro para site
survey conforme a banda
selecionada no menu
wireless.

5 - Wireless 113
Interface wireless - Sniffer

Ferramenta para sniffar
o ambiente wireless
captando e decifrando
pacotes.

Muito útil para detectar

ataques.

Pode ser arquivado no

próprio MikroTik ou
passado por streaming
para outro servidor
com protocolo TZSP.

5 - Wireless 114
 Interface wireless - Snooper

Com a ferramenta snooper é possível monitorar a

carga de tráfego em cada canal por estação e por rede.

Scaneia as frequências definidas em scan-list da
interface.
5 - Wireless 115
 NV2

Proprietário da MikroTik (não funciona com outros

fabricantes).

Baseado em TDMA (Time Division Multiple Access).

Resolver o problema do nó escondido.

Melhora throughput e latência especialmente em PtMP.

 Funcionamento do NV2

• Diferente do padrão 802.11 onde não existe controle do meio, com a

utilização de NV2 o AP controla todo o acesso ao meio (em outras palavras o
AP decide quem irá transmitir e quem irá receber).

• Em redes NV2 o AP divide o tempo em períodos fixos (Timeslot).

• Esses períodos (Timeslot) são alocados para Download e Upload de forma

organizada, sendo que dois clientes não irão transmitir ao mesmo tempo e
logo temos o seguinte:
- Evitamos colisões
- Aproveitamos melhor a largura de banda
- Aumento do throughput
Segurança de Acesso em redes sem fio

5 - Wireless 118
 Falsa segurança

Nome da rede escondido:

Pontos de acesso sem fio por padrão fazem
o broadcast de seu SSID nos pacotes
chamados “beacons”. Este comportamento
pode ser modificado no MikroTik
habilitando a opção “Hide SSID”.

Pontos negativos:

SSID deve ser conhecido pelos clientes.

Scanners passivos o descobrem facilmente
pelos pacotes de “probe request” dos
clientes.

5 - Wireless 119
 Falsa segurança

Controle de MACs:

Descobrir MACs que trafegam no ar é muito

simples com ferramentas apropriadas e inclusive o
MikroTik como sniffer.

Spoofar um MAC é bem simples. Tanto usando

windows, linux ou Mikrotik.

5 - Wireless 120
 Interface Wireless – Controle de
Acesso

A Access List é utilizada pelo AP para restringir associações de

clientes. Esta lista contem os endereços MAC de clientes e
determina qual ação deve ser tomada quando um cliente tenta
conectar.

A comunicação entre clientes da mesma interface, virtual ou real,

também pode ser controlada na Access List.

5 - Wireless 121
 Interface Wireless – Controle de
Acesso

O processo de associação
ocorre da seguinte forma:

Um cliente tenta se associar a uma interface wlan;

Seu MAC é procurado na access list da interface wlan;

Caso encontrado, a ação especifica será tomada:

Authentication: Define se o cliente poderá se associar ou
não;

Fowarding: Define se os clientes poderão se comunicar.

5 - Wireless 122
 Interface Wireless – Access List

MAC Address: Endereço MAC a ser
liberado ou bloqueado.

Interface: Interface real ou virtual onde
será feito o controle de acesso.

AP Tx Limit: Limite de tráfego enviado
para o cliente.

Client Tx Limit: Limite de tráfego enviado
do cliente para o AP.

Private Key: Chave wep criptografada.

Private Pre Shared Key: Chave WPA.

Management Protection Key: Chave usada para evitar ataques de

desautenticação. Somente compatível com outros Mikrotiks.

5 - Wireless 123
 Interface Wireless – Connect List

A Connect List tem a finalidade de listar os

APs que o MikroTik configurado como
cliente pode se conectar.

MAC Address: MAC do AP a se conectar.

SSID: Nome da rede.

Area Prefix: String para conexão com AP
de mesma área.

Security Profile: Definido nos perfis de
segurança.

Obs.: Essa é uma boa opção para evitar que o cliente se associe a um AP
falso.

5 - Wireless 124
 Falsa segurança

Criptografia WEP:

“Wired Equivalent Privacy” – Foi o sistema de criptografia
inicialmente especificado no padrão 802.11 e está baseado no
compartilhamento de um segredo entre o ponto de acesso e os
clientes, usando um algoritmo RC4 para a criptografia.

Várias fragilidades da WEP foram reveladas ao longo do tempo e
publicadas na internet, existindo várias ferramentas para
quebrar a chave, como:

Airodump.

Airreplay.

Aircrack.

Hoje com essas ferramentas é bem simples quebrar a WEP.

5 - Wireless 125
Evolução dos padrões de segurança

5 - Wireless 126
 Chave WPA e WPA2 - PSK

A configuração da chave WPA/WAP2-
PSK é muito simples no Mikrotik.

No menu wireless clique na Security

Profile e adicione um novo perfil

Configure o modo de chave dinâmico e

a chave pré combinada para cada tipo
de autenticação.

Em cada Wlan selecione o perfil de

segurança desejado.

Obs.: As chaves são alfanuméricas de 8 até

64 caracteres.

5 - Wireless 127
 Segurança de WPA / WPA2

Atualmente a única maneira conhecida para

se quebrar a WPA-PSK é somente por ataque
de dicionário.

A maior fragilidade paras os WISP’s é que a

chave se encontra em texto plano nos
computadores dos clientes ou no próprio
Mikrotik.

5 - Wireless 128
 Método alternativo com Mikrotik

A partir da versão 3 o MikroTik oferece a possibilidade de distribuir uma
chave WPA2 PSK por cliente. Essa chave é configurada na Access List do AP
e é vinculada ao MAC Address do cliente, possibilitando que cada um
tenha sua chave.

Obs.: Cadastrando as PSK na access list,

voltamos ao problema da chave ser
visível a usuários do Mikrotik.

5 - Wireless 129
Perguntas ?

5 - Wireless 130
Firewall no Mikrotik

7 - Firewall 131
 Firewall

O firewall é normalmente usado como ferramenta de segurança
para prevenir o acesso não autorizado a rede interna e/ou
acesso ao roteador em si, bloquear diversos tipos de ataques e
controlar o fluxo de dados de entrada, de saída e passante.

Além da segurança é no firewall que serão desempenhadas

diversas funções importantes como a classificação e marcação
de pacotes para desenvolvimento de regras de QoS.

A classificação do tráfego feita no firewall pode ser baseada em

vários classificadores como endereços MAC, endereços IP, tipos
de endereços IP, portas, TOS, tamanho do pacotes, etc...

7 - Firewall 132
 Firewall - Opções

Filter Rules: Regras para filtro de pacotes.

NAT: Onde é feito a tradução de endereços e portas.

Mangle: Marcação de pacotes, conexão e roteamento.

Service Ports: Onde são localizados os NAT Helpers.

Connections: Onde são localizadas as conexões existentes.

Address List: Lista de endereços ips inseridos de forma dinâmica ou estática e

que podem ser utilizadas em várias partes do firewall.

Layer 7 Protocols: Filtros de camada 7.

7 - Firewall 133
 Estrutura do Firewall
Firewall

Tabela Filter Tabela NAT Tabela Mangle

Canal input Canal input

Canal SRCNAT
regras regras
regras
regras regras Canal Output
regras
Canal Output Canal DSTNAT
regras Canal Forward
regras
regras regras
regras
Canal Prerouting
Canal Forward
regras
regras
Canal Posrouting
regras
regras

7 - Firewall 134
 Fluxo do Firewall
Chegada

Canal Prerouting

Decisão
Canal DSTNAT de Canal Forward
roteamento

Canal Output Canal Posrouting

Canal Input Canal SRCNAT

Decisão
de
roteamento Saída

Processo local

7 - Firewall 135
 Firewall – Connection Track

Refere-se a habilidade do roteador em manter o estado da
informação relativa as conexões, tais como endereços IP de origem
e destino, as respectivas portas, estado da conexão, tipo de
protocolos e timeouts. Firewalls que fazem connection track são
chamados de “statefull” e são mais seguros que os que fazem
processamentos “stateless”.

7 - Firewall 136
 Firewall – Connection Track

O sistema de connection tracking é o coração do
firewall. Ele obtém e mantém informações sobre todas
conexões ativas.

Quando se desabilita a função “connection tracking” são

perdidas as funcionalidades NAT e as marcações de
pacotes que dependam de conexão. No entanto,
pacotes podem ser marcados de forma direta.

Connection track é exigente de recursos de hardware.

Quando o equipamento trabalha somente como bridge
é aconselhável desabilitá-la.

7 - Firewall 137
 Localização da Connection Tracking
Chegada

conntrack

Canal Prerouting
Decisão
Canal DSTNAT de Canal Forward
roteamento

Canal Output Canal Posrouting

conntrack Canal SRCNAT

Canal Input
Decisão Saída
de
roteamento

Processo local
7 - Firewall 138
 Firewall – Connection Track

Estado das conexões:

established: Significa que o pacote faz parte de uma conexão já

estabelecida anteriormente.

new: Significa que o pacote está iniciando uma nova conexão ou faz
parte de uma conexão que ainda não trafegou pacotes em ambas
direções.

related: Significa que o pacote inicia uma nova conexão, porém está
associada a uma conexão existente.

invalid: Significa que o pacote não pertence a nenhuma conexão
existente e nem está iniciando outra.
7 - Firewall 139
 Firewall – Princípios gerais

As regras de firewall são sempre processadas por canal, na

ordem que são listadas de cima pra baixo.

As regras de firewall funcionam como expressões lógicas

condicionais, ou seja: “se <condição> então <ação>”.

Se um pacote não atende TODAS condições de uma regra,

ele passa para a regra seguinte.

7 - Firewall 140
 Processamento das regras
SE combina com os campos ENTÃO executa a ação.

SE IP de destino=8.8.8.8 ENTÃO execute Drop

SE proto=TCP e dst-port=80 ENTÃO executa Accept

7 - Firewall 141
 Firewall – Princípios gerais

Quando um pacote atende TODAS as condições
da regra, uma ação é tomada com ele, não
importando as regras que estejam abaixo nesse
canal, pois elas não serão processadas.

Algumas exceções ao critério acima devem ser

consideradas como as ações de: “passthrough”,
log e “add to address list”.

Um pacote que não se enquadre em qualquer

regra do canal, por padrão será aceito.

7 - Firewall 142
 Firewall – Filter Rules

Forward

Input Output

As regras são organizadas em canais(chain) e existem 3
canais “default” de tabela filters.

INPUT: Responsável pelo tráfego que CHEGA no router;

OUTPUT: Responsável pelo tráfego que SAI do router;

FORWARD: Responsável pelo tráfego que PASSA pelo router.

7 - Firewall 143
 Firewall – Filters Rules

Algumas ações que podem ser tomadas nos filtros de
firewall:

passthrough: Contabiliza e passa adiante.

drop: Descarta o pacote silenciosamente.

reject: Descarta o pacote e responde com uma mensagem de
icmp ou tcp reset.

tarpit: Responde com SYN/ACK ao pacote TCP SYN entrante, mas
não aloca recursos.

7 - Firewall 144
 Firewall – Organização das regras

As regras de filtro pode ser organizadas e

mostradas da seguinte forma:

all: Mostra todas as regras.

dynamic: Regras criadas dinamicamente por serviços.

forward, input output: Regras referente a cada canal.

static: Regras criadas estaticamente pelos usuários.
7 - Firewall 145
 Firewall – Address List

A address list contém uma lista de endereços IP

que pode ser utilizada em várias partes do firewall.

Pode-se adicionar entradas de forma dinâmica
usando o filtro ou mangle conforme abaixo:

Action:

add dst to address list: Adiciona o IP de destino à lista.

add src to address list: Adiciona o IP de origem à lista.

Address List: Nome da lista de endereços.

Timeout: Por quanto tempo a entrada permanecerá na lista.
7 - Firewall 146
 Firewall
Protegendo o roteador

7 - Firewall 147
 Princípios básicos de proteção

Proteção do próprio roteador :

Tratamento das conexões e eliminação de tráfego
prejudicial/inútil.

Permitir somente serviços necessários no próprio roteador.

Prevenir e controlar ataques e acessos não autorizado ao
roteador.

Proteção da rede interna :

Tratamento das conexões e eliminação de tráfego
prejudicial/inútil.

Prevenir e controlar ataques e acesso não autorizado em
clientes.

7 - Firewall 148
 Firewall – Proteção básica

Regras do canal input

Descarta conexões inválidas.

Aceitar conexões estabelecidas.

Aceitar conexões relacionadas.

Aceitar todas conexões da rede interna.

Descartar o restante.

7 - Firewall 149
 Firewall – Proteção básica

Regras do canal input

Permitir acesso externo ao winbox.

Permitir acesso externo por SSH.

Permitir acesso externo ao FTP.

Realocar as regras.

7 - Firewall 150
 Firewal – Port Scan

Port Scan:

Consiste no escaneamento de portas TCP e/ou UDP.

A detecção de ataques somente é possível para o protocolo TCP.

Portas baixas (0 – 1023)

Portas altas (1024 – 65535)

7 - Firewall 151
Firewall – Técnica do “knock knock”

7 - Firewall 152
 Firewall – Técnica do “knock knock”

A técnica do “knock knock” consiste em permitir acesso ao roteador somente após ter seu
endereço IP em uma determinada address list.

Neste exemplo iremos restringir o acesso ao winbox somente a endereços IP´s que estejam
na lista “libera_winbox”:

/ip firewall filter

add chain=input protocol=tcp dst-port=2771 action=add-src-to-address

list address-list=knock address-list-timeout=15s comment="" disabled=no

add chain=input protocol=tcp dst-port=7127 src-address-list=knock action= add

src-to-address-list address-list=libera_winbox address-list-timeout=15m
comment="" disabled=no

add chain=input protocol=tcp dst-port=8291 src-address-list=libera_winbox

action=accept disabled=no

add chain=input protocol=tcp dst-port=8291 action=drop disbled=no

7 - Firewall 153
 Firewall – Ping flood

Ping Flood consiste no envio de grandes volumes de mensagens
ICMP aleatórias.

Para evitar o Ping flood, podemos bloquear todo tráfego de

ICMP.

Ao bloquear todo trafego de ICMP podemos ter problemas com

algumas aplicações (monitoramento e outros protocolos).

Por isso é aconselhável colocarmos uma exceção permitindo um

pelo menos 30 mensagens de ICMP por segundo.

7 - Firewall 154
 Firewal – Evitando ping flood

/ip firewall filter

add chain=input comment="Aceita 30 mensagens ICMP por segundo" limit=30,5 protocol=icmp
add action=drop chain=input comment="Dropa todo ICMP" protocol=icmp

7 - Firewall 155
 Firewal – Ataques do tipo DoS

Ataques DoS:

O principal objetivo do ataque de DoS é o consumo de recursos

de CPU ou banda.

Usualmente o roteador é inundado com requisições de

conexões TCP/SYN causando resposta de TCP/SYN-ACK e a
espera do pacote TCP/ACK.

O ataque pode ser intencional ou causado por vírus

em clientes.

Todos os IP’s com mais de 15 conexões com o roteador

podem ser considerados atacantes.

7 - Firewall 156
 Firewal – Ataques do tipo DoS

Se simplesmente descartamos as conexões,
permitiremos que o atacante crie uma nova conexão.

Para que isso não ocorra, podemos implementar a

proteção em dois estágios:

Detecção – Criar uma lista de atacantes DoS com base em

“connection limit”.

Supressão – Aplicando restrições aos que forem detectados.

7 - Firewall 157
Firewal – Detectando um ataque DoS

Criar a lista de atacantes
para posteriormente
aplicarmos a supressão
adequada.

7 - Firewall 158
 Firewal – Suprimindo um ataque DoS

Com a ação “tarpit”
aceitamos a conexão
e a fechamos, não
deixando no entanto
o atacante trafegar.

Essa regra deve ser
colocada antes da
regra de detecção ou
então a address list irá
reescrevê-la todo
tempo.
7 - Firewall 159
 Firewal – DDoS

Ataque DDoS:

Ataque de DDoS são bastante

parecidos com os de
DoS,porém partem de um
grande número de hosts
infectados.

A única medida que podemos

tomar é habilitar a opção TCP
SynCookie no Connection
Tracking do firewall.

7 - Firewall 160
 Firewall - NAT

Tradução de endereços e portas

7 - Firewall 161
 Firewall - NAT

NAT – Network Address Translation é uma técnica que permite que
vários hosts em uma LAN usem um conjunto de endereços IP’s para
comunicação interna e outro para comunicação externa.

Existem dois tipos de NAT :

SRC NAT: O roteador faz alterações de IP ou porta de origem.

DST NAT: O roteador faz alterações de IP ou porta de destino.

7 - Firewall 162
 Firewall - NAT

As regras de NAT são organizadas em canais:

dstnat: Processa o tráfego enviado PARA o
roteador e ATRAVÉS do roteador, antes que ele
seja dividido em INPUT e/ou FORWARD.

srcnat: Processa o tráfego enviado A PARTIR do

roteador e ATRAVÉS do roteador, depois que ele
sai de OUTPUT e/ou FORWARD.

7 - Firewall 163
Firewall NAT – Fluxo de pacotes

7 - Firewall 164
 Firewall - SRCNAT

Source NAT: A ação “mascarade” troca o endereço IP
de origem de uma determinada rede pelo endereço IP
da interface de saída. Portanto se temos, por exemplo,
a interface ether5 com endereço IP 185.185.185.185 e
uma rede local 192.168.0.0/16 por trás da ether1,
podemos fazer o seguinte:

Desta forma, todos os endereços IPs da rede local

vão obter acesso a internet utilizando o endereço
IP 185.185.185.185

7 - Firewall 165
 Firewall - DSTNAT

Redirecionamento de portas: O NAT nos
possibilita redirecionar portas para permitir
acesso a serviços que rodem na rede interna.
Dessa forma podemos dar acesso a serviços de
clientes sem utilização de endereço IP público.

Redirecionamento para
acesso ao servidor
WEB do cliente
192.168.1.200 pela
porta 80.

7 - Firewall 166
 Firewall – NAT Helpers

Hosts atrás de uma rede “nateada” não possuem conectividade

fim-afim verdadeira. Por isso alguns protocolos podem não
funcionar corretamente neste cenário. Serviços que requerem
iniciação de conexões TCP fora da rede, bem como protocolos
“stateless” como UDP, podem não funcionar. Para resolver este
problema, a implementação de NAT no MikroTik prevê alguns
“NAT Helpers” que têm a função de auxiliar nesses serviços.

7 - Firewall 167
Perguntas ?

7 - Firewall 168
Failover

8 - Balance e Failover 169

 Acertando sua rota principal

Abra sua rota default.

Coloque o campo distance=1

Clique em comment e coloque principal

1- Introdução 170
 Simulando um segundo link
Adicione uma VLAN
Adicione um IP para a VLAN

8 - Balance e Failover 171

Adicionando uma segunda rota

8 - Balance e Failover 172

 Visão geral das rotas

Veja como deve ficar suas rotas default.

Quando o roteador tem duas rotas com o endereço de destino iguais o campo distace irá
determinar qual rota será usado para o encaminhamento de pacotes.

Lembrando que a menor distancia será sempre escolhida.

8 - Balance e Failover 173

 Adicionando a nova regra de NAT

Para não ter duas regras de NAT, vamos fazer o seguinte.

Criar uma address-list no Firewall chamada rede-local e colocar e nela seu range
de IP da sua rede local.

8 - Balance e Failover 174

 Adicionando a nova regra de NAT

Vá em IP -> Firewall -> NAT

Apague as regras já existentes

Crie a nova regra de NAT conforme a imagem

8 - Balance e Failover 175

 Testando os dois links

Acesse o site www.ping.eu e verifique seu IP publico.

Desabilite sua rota principal e verifique se está navegando normalmente para internet.

Acesse o site www.ping.eu novamente e verifique se seu IP publico mudou.

8 - Balance e Failover 176

 Preparando nosso failover

Para que possamos saber se um link realmente está
fora devemos monitorar um host qualquer na internet.

Devemos fazer com que o teste de monitoramento seja

encaminhado sempre por um único link, pois caso isso
não aconteça podemos ter um falso positivo.

Como fazer com que um determinado host seja

acessado por um único link?

8 - Balance e Failover 177

Manipulando a rota principal via comandos

Quando o link principal estiver DOWN deveremos desabilitar a rota principal.

O comando para desabilitar a rota é: /ip route disable [find comment=principal]

Quando o link principal estiver UP deveremos habilitar a rota principal.

O comando para desabilitar a rota é: /ip route enable [find comment=principal]

8 - Balance e Failover 178

Criando o script

8 - Balance e Failover 179

Forçando o teste sair somente por um link

Para forçarmos o teste somente por um link,
podemos criar uma rota de teste.

8 - Balance e Failover 180

Balanceamento de Carga com PCC
Link 1 Link 2

172.25.X.254 172.25.10.254

8 - Balance e Failover 181

Elementos da operação de divisão

Classificador Divisor Resto

↓
Dividendo

8 - Balance e Failover 182

 Balanceamento de Carga com PCC

O PCC é um recurso utilizado para classificar o tráfego de
acordo com critérios pré-determinados relacionados das
conexões. Os parâmetros de configuração são:

Classificador Divisor Resto

↓
Dividendo

8 - Balance e Failover 183

 Balanceamento de Carga com PCC
Classificador Divisor Resto

A partir do classificador selecionado será gerado

um dividendo

O dividendo que será divido pelo denominador e
então encontraremos o resto da divisão.

O resto será levado em conta para dizer se o
pacote combina ou não com a regra do firewall.
8 - Balance e Failover 184
 Balanceamento de Carga com PCC

Primeiro precisamos fazer marcas de roteamento para que
possamos direcionar os pacotes por mais de um gateway.

Poderíamos simplesmente efetuar as marcas de roteamento ,
porém isso pode consumir muito recurso de processamento do
roteador.

Para evitar o consumo excessivo de CPU, primeiro marcamos a
conexão e depois marcamos o roteamento com base na conexão
que já foi marcada.

Todas as marcações são feitas no Mangle do firewall

8 - Balance e Failover 185

Sequencia para criar um Load balance com PCC

1) Marcas de conexão
Utilizando o PCC

2) Marcas de roteamento
com base nas marcas de conexão criadas anteriormente

3) Criar novas rotas

com base nas marcas de roteamento criadas anteriormente

8 - Balance e Failover 186

 Criando as marcas de conexão – link1

Exemplo de PCC com 2 links

8 - Balance e Failover 187

 Criando as marcas de conexão – link2

Exemplo de PCC com 2 links

8 - Balance e Failover 188

Criando as marcas de roteamento - link1

Exemplo de PCC com 2 links

8 - Balance e Failover 189

Criando as marcas de roteamento - link2

Exemplo de PCC com 2 links

8 - Balance e Failover 190

 Criando as novas rotas

Rota para link 1

com marcas de roteamento

Rota para link 2

com marcas de roteamento

8 - Balance e Failover 191

Túneis e VPN

9 - Tuneis e VPN 192

 VPN
• Uma Rede Privada Virtual é uma rede de
comunicações privada normalmente
utilizada por uma empresa ou conjunto de
empresas e/ou instituições, construídas em
cima de uma rede pública. O tráfego de
dados é levado pela rede pública utilizando
protocolos padrão, não necessariamente
seguros.

• VPNs seguras usam protocolos de criptografia por tunelamento que

fornecem confidencialidade, autenticação e integridade necessárias
para garantir a privacidade das comunicações requeridas. Quando
adequadamente implementados, estes protocolos podem assegurar
comunicações seguras através de redes inseguras.

9 - Tuneis e VPN 193

 VPN
• As principais características da VPN são:
– Promover acesso seguro sobre meios físicos públicos
como a internet por exemplo.
– Promover acesso seguro sobre linhas dedicadas,
wireless, etc...
– Promover acesso seguro a serviços em ambiente
corporativo de correio, impressoras, etc...
– Fazer com que o usuário, na prática, se torne parte da
rede corporativa remota recebendo IPs desta e perfis de
segurança definidos.
– A base da formação das VPNs é o tunelamento entre dois
pontos, porém tunelamento não é sinônimo de VPN.

9 - Tuneis e VPN 194

 Tunelamento
• A definição de tunelamento é a capacidade de criar túneis entre dois
hosts por onde trafegam dados.
• O MikroTik implementa diversos tipos de tunelamento, podendo ser
tanto servidor como cliente desses protocolos:
– PPP (Point to Point Protocol)
– PPPoE (Point to Point Protocol over Ethernet)
– PPTP (Point to Point Tunneling Protocol)
– L2TP (Layer 2 Tunneling Protocol)
– OVPN (Open Virtual Private Network)
– IPSec (IP Security)
– Túneis IPIP
– Túneis EoIP
– Túneis VPLS
– Túneis TE
– Túneis GRE

9 - Tuneis e VPN 195

Site-to-site

9 - Tuneis e VPN 196

Conexão remota

9 - Tuneis e VPN 197

Endereçamento ponto a ponto /32

Geralmente usado em túneis

Pode ser usado para economia de IPs.

Router 1 Router 2

9 - Tuneis e VPN 198

 Diagrama de VPN

Internet
IP público
IP da VPN 172.25.2.1
IP público 2.2.2.2
172.25.1.1 IP da VPN
1.1.1.1

Rede LAN Rede LAN

10.1.1.0/24 10.1.2.0/24

DST GW DST GW
10.1.2.0/24 2.2.2.2 10.1.1.0/24 1.1.1.1

9 - Tuneis e VPN 199

Ativando o um roteador como servidor
de VPN

9 - Tuneis e VPN 200

Criando o usuário para o PPTP Client

Usuário e senha que será

utilizado para autenticação.

IP que será atribuído localmente quando o usuário “teste” se conectar

IP que será atribuído para o host remoto quanto o usuário “teste” se conectar

9 - Tuneis e VPN 201

Criando o PPTP Client

9 - Tuneis e VPN 202

 Acompanhando o Status

Status no client
Status no servidor

9 - Tuneis e VPN 203

 Criando as rotas

Rota no servidor Rota no client

Status no client
Status no servidor
9 - Tuneis e VPN 204
 PPP – Definições Comuns para os
serviços
• MTU/MRU: Unidade máximas de transmissão/ recepção em
bytes. Normalmente o padrão ethernet permite 1500 bytes.
Em serviços PPP que precisam encapsular os pacotes, deve-se
definir valores menores para evitar fragmentação.

• Keepalive Timeout: Define o período de tempo em segundos após o qual

o roteador começa a mandar pacotes de keepalive por segundo. Se
nenhuma reposta é recebida pelo período de 2 vezes o definido em
keepalive timeout o cliente é considerado desconectado.

• Authentication: As formas de autenticação permitidas são:

– Pap: Usuário e senha em texto plano sem criptografica.
– Chap: Usuário e senha com criptografia.
– Mschap1: Versão chap da Microsoft conf. RFC 2433
– Mschap2: Versão chap da Microsoft conf. RFC 2759

9 - Tuneis e VPN 205

 PPP – Definições Comuns para os
serviços
• PMTUD: Se durante uma comunicação alguma estação enviar pacotes IP
maiores que a rede suporte, ou seja, maiores que a MTU do caminho, então
será necessário que haja algum mecanismo para avisar que esta estação
deverá diminuir o tamanho dos pacotes para que a comunicação ocorra
com sucesso. O processo interativo de envio de pacotes em determinados
tamanhos, a resposta dos roteadores intermediarios e a adequação dos
pacotes posteriores é chamada Path MTU Discovery ou PMTUD.
Normalmente esta funcionalidade está presente em todos roteadores,
sistemas Unix e no MikroTik ROS.

• MRRU: Tamanho máximo do pacote, em bytes, que poderá ser recebido

pelo link. Se um pacote ultrapassa esse valor ele será dividido em pacotes
menores, permitindo o melhor dimensionamento do túnel. Especificar o
MRRU significa permitir MP (Multilink PPP) sobre túnel simples. Essa
configuração é útil para o PMTUD superar falhas. Para isso o MP deve ser
configurado em ambos lados.

9 - Tuneis e VPN 206

 PPP – Definições Comuns para os
serviços
Change MSS: Maximun Segment Size, tamanho máximo do segmento de
dados. Um pacote MSS que ultrapasse o MSS dos roteadores por onde o
túnel está estabelecido deve ser fragmentado antes de enviá-lo. Em alguns
caso o PMTUD está quebrado ou os roteadores não conseguem trocar
informações de maneira eficiente e causam uma série de problemas com
transferência HTTP, FTP, POP, etc... Neste caso MikroTik proporciona
ferramentas onde é possível interferir e configurar uma diminuição do MSS
dos próximos pacotes através do túnel visando resolver o problema.

9 - Tuneis e VPN 207

 PPPoE – Cliente e Servidor
• PPPoE é uma adaptação do PPP para funcionar em redes ethernet. Pelo fato
da rede ethernet não ser ponto a ponto, o cabeçalho PPPoE inclui
informações sobre o remetente e o destinatário, desperdiçando mais banda.
Cerca de 2% a mais.

• Muito usado para autenticação de clientes com base em Login e Senha. O

PPPoE estabelece sessão e realiza autenticação com o provedor de acesso a
internet.

• O cliente não tem IP configurado, o qual é atribuído pelo Servidor

PPPoE(concentrador) normalmente operando em conjunto com um servidor
Radius. No MikroTik não é obrigatório o uso de Radius pois o mesmo
permite criação e gerenciamento de usuários e senhas em uma tabela local.

• PPPoE por padrão não é criptografado. O método MPPE pode ser usado
desde que o cliente suporte este método.

9 - Tuneis e VPN 208

 PPPoE – Cliente e Servidor
• O cliente descobre o servidor
através do protocolo pppoe
discovery que tem o nome do
serviço a ser utilizado.
• Precisa estar no mesmo
barramento físico ou os
dispositivos passarem pra
frente as requisições PPPoE
usando pppoe relay.

• No MikroTik o valor padrão do Keepalive Timeout é 10, e

funcionará bem na maioria dos casos. Se configurarmos pra zero, o
servidor não desconectará os
clientes até que os mesmos solicitem ou o servidor for reiniciado.

9 - Tuneis e VPN 209

 Passos para criar o PPPoE server
1) Criar o Pool

2) Criar o servidor de PPPoE

3) Ajustar ou criar um novo perfil

4) Criar usuários

9 - Tuneis e VPN 210

•
Criando um Pool
Esses são os endereços que serão entregues ao clientes que se conectarem no
servidor de PPPoE.

• Para fins de organização iremos reservar o primeiro IP utilizável para usarmos em

nosso roteador (no nosso caso o 10.1.1.1).

• Tambem iremos fazer uma reserva de endereço para cliente que por ventura
precisarem de IP fixo (no nosso caso do 10.1.1.241 até o 10.1.1.254)

9 - Tuneis e VPN 211

 Criando o PPPoE server
Service Name = Nome que os clientes vão procurar (pppoe-discovery).
Interface = Interface onde o servidor pppoe vai escutar.

9 - Tuneis e VPN 212

 Criando um novo perfil
• Name = Nome de identificação do perfil

• Local Address = Endereço que será utilizado no servidor de PPPoE

• Remote Address = Endereços que serão entregues ao clientes que se

conectarem(nesse caso selecionamos o pool previamente criado).

9 - Tuneis e VPN 213

•
Criando
Adicione um usuário e senha
um usuário
• Obs.: Caso queira verificar o MAC-Address, adicione em Caller ID.
Esta opção não é obrigatória, mas é um parâmetro a mais para
segurança.

9 - Tuneis e VPN 214

Mais sobre perfis
• Bridge: Bridge para associar ao perfil

• Incoming/Outgoing Filter: Nome do canal do

firewall para pacotes entrando/saindo.

• Address List: Lista de endereços IP para

associar ao perfil.

• DNS Server: Configuração dos servidores DNS a

atribuir aos clientes.

• Use Compression/Encryption/Change TCP MSS:

caso estejam em default, vão associar ao valor que
está configurado no perfil default-profile.

9 - Tuneis e VPN 215

Mais sobre perfis
• Session Timeout: Duração máxima de uma
sessão PPPoE.

• Idle Timeout: Período de ociosidade na

transmissão de uma sessão. Se não houver
tráfego IP dentro do período configurado, a
sessão é terminada.

• Rate Limit: Limitação da velocidade na forma

rx-rate/tx-rate. Pode ser usado também na
forma rx-rate/tx-rate rx-burst-rate/tx-burstrate
rx-burst-threshould/tx-burst-threshould
burst-time priority rx-rate-min/tx-rate-min.

• Only One: Permite apenas uma sessão para o

mesmo usuário.

9 - Tuneis e VPN 216

Mais sobre o database
• Service: Especifica o serviço disponível para este
cliente em particular.

• Caller ID: MAC Address do cliente.

• Local/Remote Address: Endereço IP Local (servidor)

e remote(cliente) que poderão ser atribuídos a um
cliente em particular.

• Limits Bytes IN/Out: Quantidade em bytes que o

cliente pode trafegar por sessão PPPoE.

• Routes: Rotas que são criadas do lado do servidor

para esse cliente especifico. Várias rotas podem ser
adicionadas separadas por vírgula.

9 - Tuneis e VPN 217

 Mais sobre o PPoE Server
O concentrador PPPoE do MikroTik suporta múltiplos servidores
para cada interface com diferentes nomes de serviço. Além do
nome do serviço, o nome do concentrador de acesso pode ser
usado pelos clientes para identificar o acesso em que se deve
registrar. O nome do concentrador é a identidade do roteador.
O valor de MTU/MRU inicialmente recomendado para o PPPoE
é 1480 bytes. Em uma rede sem fio, o servidor PPPoE pode ser
configurado no AP. Para clientes MikroTik, a interface de rádio
pode ser configurada com a MTU em 1600 bytes e a MTU da
interface PPPoE em 1500 bytes.

Isto otimiza a transmissão de pacotes e evita problemas associados a MTU menor que
1500 bytes. A opção One Session Per Host permite somente uma sessão por host(MAC
Address). Por fim, Max Sessions define o número máximo de sessões que o
concentrador suportará.

9 - Tuneis e VPN 218

 Configurando o PPPoE Client

• AC Name: Nome do concentrador. Deixando em branco conecta

em qualquer um.
• Service: Nome do serviço designado no servidor PPPoE.
• Dial On Demand: Disca sempre que é gerado tráfego de saída.
• Add Default Route: Adiciona um rota padrão(default).
• User Peer DNS: Usa o DNS do servidor PPPoE.
9 - Tuneis e VPN 219
Perguntas ?

9 - Tuneis e VPN 220

QoS e Controle de banda

10 - QoS 221
 Conceitos básicos de Largura e Limite
de banda

Largura de banda: Em telecomunicações, a largura da banda ou apenas banda (também chamada
de débito) usualmente se refere à bitrate de uma rede de transferência de dados, ou seja, a quantidade
em bits/s que a rede suporta. A denominação banda, designada originalmente a um grupo de
frequências é justificada pelo fato de que o limite de transferência de dados de um meio está ligado à
largura da banda em hertz. O termo banda larga denota conexões com uma largura em hertz
relativamente alta, em contraste com a velocidade padrão em linhas analógicas convencionais (56
kbps), na chamada conexão discada.

Limite de banda: O limite de banda é o limite máximo de transferência de dados, onde também é
designada sua velocidade. Por exemplo, você pode ter uma conexão discada de 56 kbps, onde 56
kilobits (7 kbytes) por segundo é o limite de transferência de dados de sua conexão ou uma banda de
1Mbps, você conseguiria transportar cerca de 1 megabit ou aproximadamente 340 kilobytes por
segundo. Nela podemos achar também o valor relativo a transferência de dados real, ou também
chamado de Taxa ou Velocidade de Transferência ou (throughput), que varia aproximadamente entre
10 a 12 por cento do valor nomintal de seu limite de banda. Por exemplo, numa velocidade de 56kbps,
você conseguirá taxas de transferencia de no máximo 5,6 a 6,7 kbps aproximadamente, enquanto numa
banda de 256kbps, você conseguirá uma Taxa de Transferência de aproximadamente entre 25kbps a
30,7kbps

10 - QoS 222
 Traffic Shaping
• Traffic shaping é um termo da língua inglesa, utilizado para definir a prática de priorização
do tráfego de dados, através do condicionamento do débito de redes, a fim de otimizar o
uso da largura de banda disponível.
• O termo passou a ser mais conhecido e utilizado após a popularização do uso de
tecnologias "voz sobre ip" (VoIP), que permitem a conversação telefônica através da
internet. O uso desta tecnologia permite que a comunicação entre localidades distintas
tenham seus custos drasticamente reduzidos, substituindo o uso das conexões comuns.
• No Brasil, a prática passou a ser adotada pelas empresas de telefonia, apesar de
condenada por algumas instituições protetoras dos direitos do consumidor. Estas empresas
utilizam programas de gestão de dados que acompanham e analisam a utilização e
priorizam a navegação, bloqueando ou diminuindo o trafego de dados VoIP, assim
prejudicando a qualidade do uso deste tipo de serviço. A prática também é comumente
adotada para outros tipos de serviços, conhecidos por demandar grande utilização da
largura de banda, como os de transferência de arquivos, por exemplo, P2P e FTP.
• Os programas de traffic shaping podem ainda fazer logs dos hábitos de utilizadores,
capturar informações sobre IPs acedidos, ativar gravações automáticas a partir de
determinadas condutas, reduzir ou interferir na transferência de dados de cada utilizador,
bloqueando redes peer-to-peer (P2P) ou FTP.

10 - QoS 223
 Qualidade de Serviço
• No campo das telecomunicações e redes de computadores, o termo Qualidade de
Serviço (QoS) pode tender para duas interpretações relacionadas, mas distintas.

• Em redes de comutação de circuitos, refere-se à probabilidade de sucesso em estabelecer

uma ligação a um destino. Em redes de comutação de pacotes refere-se à garantia de largura de banda
ou, como em muitos casos, é utilizada informalmente para referir a probabilidade de um pacote
circular entre dois pontos de rede.

• Existem, essencialmente, duas formas de oferecer garantias QoS. A primeira procura

oferecer bastantes recursos, suficientes para o pico esperado, com uma margem de segurança
substancial. É simples e eficaz, mas na prática é assumido como dispendioso, e tende a ser ineficaz se o
valor de pico aumentar além do previsto: reservar recursos gasta tempo. O segundo método é o de
obrigar os provedores a reservar os recursos, e apenas aceitar as reservas se os routers conseguirem
servi-las com confiabilidade. Naturalmente, as reservas podem ter um custo monetário associado!

10 - QoS 224
 Qualidade de Serviço

Os mecanismos para prover QoS no MikroTik são:
– Limitar banda para certos IP’s, subredes, protocolos,
serviços e outros parâmetros.
– Limitar tráfego P2P.
– Priorizar certos fluxos de dados em relação a outros.
– Utilizar burst’s para melhorar o desempenho web.
– Compartilhar banda disponível entre usuários de forma
ponderada dependendo da carga do canal.
– Utilização de WMM – Wireless Multimídia.
– MPLS – Multi Protocol Layer Switch

10 - QoS 225
 Qualidade de Serviço
Os principais termos utilizados em QoS são:
– Queuing discipline(qdisc): Disciplina de enfileiramento. É um algoritmo
que mantém e controla uma fila de pacotes. Ela especifica a ordem dos
pacotes que saem, podendo inclusive reordená-los, e determina quais
pacotes serão descartados.

– Limit At ou CIR(Commited Information Rate): Taxa de dados garantida. É a

garantia de banda fornecida a um circuito ou link.

– Max Limit ou MIR(Maximal Information Rate): Taxa máxima de dados que

será fornecida. Ou seja, limite a partir do qual os pacotes serão descartados.
– Priority: É a ordem de importância que o tráfego é processado.
Pode-se determinar qual tipo de tráfego será processado
primeiro.

10 - QoS 226
 Filas - Queues

Para ordenar e controlar o fluxo de dados, é aplicada uma
política de enfileiramento aos pacotes que estejam
deixando o roteador. Ou seja: “As filas são aplicadas na
interface onde o fluxo está saindo.”

A limitação de banda é feita mediante o descarte de

pacotes.
No caso do protocolo TCP, os pacotes descartados serão
reenviados, de forma que não há com que se preocupar com
relação a perda de dados. O mesmo não vale para o UDP.

10 - QoS 227
 Tipos de filas

Antes de enviar os pacotes por uma interface, eles são processados
por uma disciplina de filas(queue types). Por padrão as disciplinas
de filas são colocadas sob “queue interface” para cada interface
física.

Uma vez adicionada uma fila para uma interface física, a fila padrão
da interface, definida em queue interface, não será mantida. Isso
significa que quando um pacote não encontra qualquer filtro, ele é
enviado através da interface com prioridade máxima.

10 - QoS 228
 Controle de tráfego
O controle de tráfego é implementado através
de dois mecanismos:
– Pacotes são policiados na entrada:
• Pacotes são policiados e marcados para
tratamento futuro.
– Pacotes são enfileirados na interface de
saída:
• Pacotes podem ser atrasados, descartados
ou priorizados.

10 - QoS 229
 Filas simples

As principais propriedades configuráveis de uma fila simples são:

– Limite por direção de IP de origem ou destino
– Interface do cliente
– Tipo de fila
– Limit-at, max-limit, priority e burst para download e upload
– Horário.

10 - QoS 230
 Filas simples - Burst

Bursts são usados para
permitir altas taxas de
transferência por um período
curto de tempo.

Os parâmetros que controlam o burst são:

- burst-limit: Limite máximo que o burst alcançará.
- burst-time: Tempo que durará o burst.
- burst-threshold: Patamar para começar a limitar.
- max-limit: MIR

10 - QoS 231
 Como funciona o Burst

max-limit=256kbps

burst-time=8s

burst-threshold=192kbps

burst-limit=512kbps

Inicialmente é dado ao cliente a banda burst-limit=512kbps. O algoritmo

calcula a taxa média de consumo de banda durante o burst-time de 8
segundos.
– Com 1 segundo a taxa média é de 64kbps. Abaixo do threshold.
– Com 2 segundos a taxa média já é de 128kbps. Ainda abaixo do
threshold.
– Com 3 segundos a taxa média é de 192kbps. Ponto de inflexão onde
acaba o burst.

A partir deste momento a taxa máxima do cliente passa a ser o max-limit.

10 - QoS 232
 Utilização do PCQ

PCQ é utilizado para equalizar cada usuário ou
conexão em particular.

Para utilizar o PCQ, um novo tipo de fila deve ser

adicionado com o argumento kind=pcq.


Devem ainda ser escolhidos os seguintes
parâmetros:
– pcq-classifier
– pcq-rate

10 - QoS 233
 Utilização do PCQ
• Caso 1: Com o rate configurado como zero, as subqueues
não são limitadas, ou seja, elas poderão usar a largura máxima
de banda disponível em max-limit.

• Caso 2: Se configurarmos um rate para a PCQ as subqueues

serão limitadas nesse rate, até o total de max-limit.

10 - QoS 234
 Utilização do PCQ

Nesse caso, com o rate da fila é

128k, não existe limit-at e tem um
max-limit de 512k, os clientes
receberão a banda da seguinte
forma:

10 - QoS 235
 Utilização do PCQ

Nesse caso, com o rate da fila é 0,

não existe limit-at e tem um max-
limit de 512k, os clientes receberão
a banda da seguinte forma:

10 - QoS 236
Perguntas ?

10 - QoS 237
 Reset a routerboar

Entre no terminal e execute o comando
abaixo:

/system reset-configuration

10 - QoS 238
HotSpot no Mikrotik

3 - Hotspot 239
 HotSpot

Geralmente usado em área pública como hotéis,
aeroportos, shoppings, universidades, etc...

Acesso controlado a uma rede qualquer, com ou sem

fio,

Autenticação baseada em nome de usuário e senha.

Com HotSpot, um usuário que tente navegação pela

WEB é arremetido para uma página do HotSpot que
pede suas credencias, normalmente usuário e senha.

3 - Hotspot 240
HotSpot

3 - Hotspot 241
 HotSpot – Perfil de Usuários

O User Profile serve para dar tratamento diferenciado a
grupos de usuários, como suporte, comercial, diretoria,
etc...

Session Timeout: Tempo máximo
permitido.

Idle Timeout/Keepalive: Mesma
explicação anterior, no entanto agora
somente para este perfil de usuários.

Status Autorefresh: Tempo de
refresh da página de Status do
HotSpot.

Shared Users: Número máximo de
clientes com o mesmo username.

3 - Hotspot 242
 HotSpot – Perfil de Usuários

Os perfis de usuário podem conter os limites de
velocidade de forma completa.

Rate Limit: [rx-limit/tx-limit] [rx-burst-limit/tx
burst-limit] [rxburstthreshold/tx-burst-threshold]
[rx-burst-time/tx-bursttime][priority]
[rx-limit-at/tx-limit-at]

Exemplo: 128k/256k 256k/512k 96k/192k 8 6 32k/64k

128k de upload / 256k de download

256k de upload burst / 512k de download burst

96k threshould de upload / 192k threshloud de
download

8 segundos de burst

6 de prioridade

32k de garantia de upload / 64k de garantia de
download

3 - Hotspot 243
 HotSpot – Perfil de Usuários

Incoming Filter: Nome do firewall chain aplicado aos
pacotes que chegam do usuário deste perfil.

Outgoing Filter: Nome do firewall chain aplicado aos

pacotes vão para o usuário deste perfil.

Incoming Packet Mark: Marca colocada

automaticamente em pacotes oriundos de usuários
deste perfil.

Outgoing Packet Mark: Marca colocada

automaticamente em pacotes que vão para usuários
deste perfil.

Open Status Page: Mostra a página de status.

- http-login: para usuários que logam pela WEB.
- always: para todos usuários inclusive por MAC.

Tranparent Proxy: Se deve usar proxy transparente.

3 - Hotspot 244
 HotSpot – Perfil de Usuários

Com a opção Advertise é possível enviar de
tempos em tempos “popups” para os usuários do
HotSpot.

Advertise URL: Lista de páginas que serão
anunciadas. A lista é cíclica, ou seja, quando a última é mostrada,
começa-se novamente pela primeira.

Advertise Interval: Intervalo de tempo de exibição de popups.
Depois da sequência terminada, usa sempre o intervalo.

Advertise Timeout: Quanto tempo deve esperar
para o anúncio ser mostrado, antes de bloquear o
acesso a rede.
- Pode ser configurado um tempo.
- Nunca bloquear.
- Bloquear imediatamente.

3 - Hotspot 245
 HotSpot – Perfil de Usuários

O MikroTik possui uma linguagem interna de scripts que podem ser
adicionados para serem executados em alguma situação especifica.

No HotSpot é possível criar scripts que executem comandos a

medida que um usuário desse perfil conecta ou desconecta do
HotSpot.

Os parâmetros que controlam essa execução são:

– On Login: Quando o cliente conecta ao HotSpot.
– On Logout: Quando o cliente desconecta do
HotSpot.

Os scripts são adicionados no menu:

/system script

3 - Hotspot 246
 HotSpot – Usuários

Server: all para todos hotspots ou para um específico.

Name: Nome do usuário. Se o modo Trial estiver ativado
o hotspot colocará automaticamente o nome “TMAC_
Address”. No caso de autenticação por MAC, o mesmo
deve ser adicionado como username sem senha.

Address: Endereço IP caso queira vincular esse usuário
a um endereço fixo.

MAC Address: Caso queira vincular esse usuário a um
endereço MAC especifico.

Profile: Perfil onde o usuário herda as propriedades.

Routes: Rotas que serão adicionadas ao cliente quando
se conectar. Sintaxe: “Endereço destino gateway
métrica”. Várias rotas separadas por vírgula podem ser
adicionadas.

3 - Hotspot 247
 HotSpot – Usuários

Limit Uptime: Limite máximo de
tempo de conexão para o usuário.

Limit Bytes In: Limite máximo de
upload para o usuário.

Limit Bytes Out: Limite máximo de
download para o usuário.

Limit Bytes Total: Limite máximo
considerando o download + upload.

Na aba das estatísticas é possível
acompanhar a utilização desses
limites.

3 - Hotspot 248
 HotSpot – Liberações especiais

Para liberar acesso a internet para um
determinado host utilize sem necessidade de
autenticação IP Binding.

Para liberar acesso a um determinado site sem

necessidade de autenticação utilize Walled
Garden.

Para liberar acesso a um determinado IP ou porta

sem necessidade de autenticação utilize o
Walled Garden IP List.

3 - Hotspot 249
 HotSpot – IP Bindings

O MikroTik por default tem habilitado o “universal client” que
é uma facilidade que aceita qualquer IP que esteja
configurado no cliente fazendo com ele um NAT 1:1.

É possível também fazer traduções NAT estáticas com base no

IP original, ou IP da rede ou MAC do cliente. É possível
também permitir certos endereços “contornarem” a
autenticação do hotspot. Ou seja, sem ter que logar na rede
inicialmente.

Também é possível fazer bloqueio de endereços.

3 - Hotspot 250
 HotSpot – IP Bindings

MAC Address: mac original do cliente.

Address: Endereço IP do cliente.

To Address: Endereço IP o qual o original deve ser
traduzido.

Server: Servidor hotspot o qual a regra será aplicada.

Type: Tipo do Binding.
- Regular: faz tradução regular 1:1
- Bypassed: faz tradução mas
dispensa o cliente de logar no
hotspot.
- Blocked: a tradução não será feita e
todos os pacotes serão bloqueados.

3 - Hotspot 251
 HotSpot –Walled Garden

Configurando um “walled garden” é possível oferecer ao usuário o
acesso a determinados serviços sem necessidade de autenticação.
Por exemplo em um aeroporto poderia se disponibilizar
informações sobre o tempo ou até mesmo disponibilizar os sites
dos principais prestadores de serviço para que o cliente possa
escolher qual plano quer comprar.

Quando um usuário não logado no hotspot requisita um serviço do
walled garden o gateway não intercepta e, no caso do http,
redireciona a requisição para o destino ou um proxy.

Para implementar o walled garden para requisições http, existe um
web proxy embarcado no Mikrotik, de forma que todas requisições
de usuários não autorizados passem de fato por esse proxy.

Observar que o proxy embarcado no MikroTik não tem a função de
cache, pelo menos por hora. Notar também que esse proxy faz
parte do pacote system e não requer o pacote web-proxy.

3 - Hotspot 252
 HotSpot –Walled Garden

É importante salientar que o
walled garden não se destina
somente a serviço WEB, mas
qualquer serviço que se queira
configurar. Para tanto existem 2
menus distintos conforme do
figuras ao lado. Sendo o menu
de cima para HTTP e HTTPS e o
de baixo para outros serviços e
protocolos.

3 - Hotspot 253
 HotSpot –Walled Garden

Action: Permite ou nega.

Server: Hotspot para o qual o walled garden
vale.

Src.Address: Endereço IP do usuário
requisitante.

Dst. Address: Endereço IP do web server.

Method: Método http ou https.

Dst. Host: Nome do domínio do servidor de
destino.

Dst. Port: Porta de destino do servidor.

Path: Caminho da requisição.
Obs.: Nos nomes dos domínios é necessário o nome completo, podendo ser usado
coringas. Também é possível utilizar expressões regulares devendo essas ser
iniciadas com (:)
3 - Hotspot 254
 HotSpot –Walled Garden

Action: Aceita, descarta ou rejeita o pacote.

Server: Hotspot para o qual o walled garden
vale.

Src. Address: Endereço IP do usuário
requisitante.

Dst. Address: Endereço IP do web server.

Protocol: Protocolo a ser escolhido na lista.

Dst. Port: Porta TCP ou UDP que será
requisitada.

Dst. Host: Nome do domínio do servidor de
destino.

3 - Hotspot 255
Perguntas ?

3 - Hotspot 256
Web Proxy

4 - Web proxy 257

 Web Proxy

Com o serviço de web proxy podemos fazer
cache de “objetos” da internet e com isso
economizar banda.

Também é possível utilizar o web proxy como

filtro de conteúdo sem a necessidade de fazer
cache.

4 - Web proxy 258

 Web Proxy – Como usar

Basicamente podemos usar o proxy de duas
maneiras
– Não transparente: É necessário configurar o
endereço e porta do proxy nos computadores

– Transparente: Não é necessário alterar nenhum

configuração nos computadores(não tratar
conexões HTTPS).

4 - Web proxy 259

Habilitando nosso Web Proxy

4 - Web proxy 260

 Web Proxy – Não transparente

Precisamos configurar manualmente o endereço e
porta do servidor de Proxy em nosso navegador.

4 - Web proxy 261

Web Proxy – Redirecionamento

4 - Web proxy 262

 Web Proxy - Access

A lista de acesso permite
controlar conteúdo que será
permitido ou negado.

As regras adicionadas nesta

lista são processadas de
forma semelhante que as
regras do firewall. Neste caso
as regras irão processar as
conexões e caso alguma
conexão receba um “match”
ela não será mais processada
pelas demais regras.

4 - Web proxy 263

 Web Proxy - Access

Src. Address: Endereço ip de origem.

Dst. Address: Endereço ip de destino.

Dst. Port: Porta ou lista de portas destino.

Local Port: Porta correspondente do proxy.

Dst. Host: Endereço IP ou nome de
destino.

Path: Nome da página dentro do servidor.

Method: Método HTTP usado nas
requisições.

Action: Permite ou nega a regra.

Redirect To: URL ao qual o usuário será
redirecionado caso a regra seja de
negação.

Hits: Quantidade de vezes que a regra
sofreu “macth”.

4 - Web proxy 264

 Web Proxy – Criando regras

Crie algumas regras de acesso que permitam e
neguem acesso a alguns sites.

Dica: Para bloquear

sites que contêm
uma palavra especifica
utilize : antes da palavra.

4 - Web proxy 265

 Web Proxy – Dst. Host e Path

Dst. Host = Nome DNS ou IP utilizado para
acessar um determinado site (de vermelho).

Path = Caminho de uma página ou documento
dentro de um determinado site (de verde).

Exemplos:
http://wiki.mikrotik.com/wiki/Manual:IP/Proxy
http://www.mikrotik.com/thedude

4 - Web proxy 266

 Web Proxy – Segurança

Quando habilitamos um servidor de Proxy, ele
pode ser usado por qualquer usuário, estando
este na sua rede interna ou externa.

Precisamos garantir que somente os clientes da
rede local terão acesso ao Proxy.

/ip firewall filter

add action=drop chain=input in-interface=interface-wan

4 - Web proxy 267

 Web Proxy – Regras de Firewall

Desviando o fluxo web para o proxy
– /ip firewall nat add chain=dstnat protocol=tcp dst-
port=80 action=redirect to-ports=8080

Protegendo o proxy contra acessos externos

não autorizados
– /ip firewall filter add chain=input protocol=tcp dst-
port=8080 ininterface= wan action=drop

4 - Web proxy 268

Perguntas ?

4 - Web proxy 269