Treinamento MikroTik

Certificação MTCRE - Routing Engineer

Por Leonardo Rosa, BRAUSER, Brasil
Apresentação
Leonardo Rosa
● Baiano, pai de 2 meninos
● Consultor em Internetworking desde 2006
● Instrutor MikroTik desde 2012,
certificado na Polônia
● Ministra cursos e treinamentos nas certificações MikroTik
MTCNA, MTCIPv6E, MTCRE, MTCINE, MTCWE, MTCUME, MTCTCE
● Experiente em segurança e roteamento
2
Certificações MikroTik
MTCNA

MTCRE MTCWE MTCTCE MTCUME MTCIPv6E

MTCINE

Mais informação em: mikrotik.com/training 3

Objetivos do Curso
● Abordar todos os tópicos necessários para o exame de
certificação MTCRE;
● Prover uma visão ampla sobre roteamento e túneis;
● Fazer uma abordagem simples e objetiva de como
planejar e implementar uma rede roteada com foco em
segurança e performance.

4
Sumário
DIA 1 > Roteamento
1. Visão geral
2. Teoria de roteamento IP
3. RIB e FIB
4. Rotas mais específicas
5. Roteamento estático

5
Sumário
DIA 1 > Roteamento
1. Balanceamento de carga ECMP
2. Direcionamento de rota para interface específica
3. Técnicas para Failover e Backup de rotas
4. Políticas de roteamento (PBR)
5. Interface loopback

6
Sumário
DIA 1 > OSPFv2
1. O que é
2. Como funciona
3. Estrutura da rede OSPF

7
Sumário
DIA 2 > OSPFv2
1. Interface loopback
2. Vizinhança e Adjacência
3. Redistribuição
4. Agregação
5. Custos
6. Filtros

8
Sumário
DIA 2 > Endereçamento ponto a ponto
1. Teoria de redes ponto a ponto
2. Endereçamento e configuração
3. Roteamento ponto a ponto

> TÚNEIS
1. O que são
2. Setup camada 2 e camada 3
3. PPPoE, EoIP, IPIP
9
Sumário
DIA 3 > VPN

1. O que é
2. Tipos de VPN
3. Conectividade e roteamento LAN to LAN
4. PPTP, L2TP, SSTP
5. Bridge control protocol (BCP)

10
Sumário
DIA 3 > VLAN
1. O que é
2. Implementação do QinQ
3. Vlan e switches gerenciáveis
4. Vlan e switch chip no RouterOS

11
Agenda

● Café da manhã às 8:00hs

● Treinamento das 08:30 às 18:00hs

● Almoço às 12:00hs (1 hora de duração)

● Café da tarde às 15:30 (30 minutos)

12
Avisos importantes
● Curso oficial: Proibido ser filmado ou gravado
● Celular: Em modo silencioso
● Notebook: Em modo silencioso
● Perguntas: Sempre bem vindas
● Aprendizado: Faça anotações extras!
● Participação: Não seja um mala! =P
● Deixe habilitada apenas a interface ethernet do seu PC
13
Apresentações

● Diga seu nome

● Com o que trabalha
● Seu conhecimento em redes
● Sua experiência com o RouterOS
● Anote seu XY

14
ZERE A CONFIGURAÇÃO DO SEU ROTEADOR

● Segurando botão reset por 20 segundos, ou

● /system reset-configuration no-defaults=yes

15
 DIAGRAMA DO LABORATÓRIO

X = grupo AP
Anote seu XY
Y = router
SSID=grupoX

Grupo 1 Grupo 2

16
* station-bridge
IDENTIFIQUE SEU ROTEADOR

/system identity set name=XY-NOME

17
IDENTIFIQUE AS INTERFACES

18
LAB > 1
1. Na RB, habilite o RoMON com
/tool romon set enable=yes
2. Na RB, crie uma bridge com todas as
interfaces do roteador
3. No PC, coloque sua interface em DHCP
a. Você deve pegar IP na rede 192.168.100/24

4. No PC, confira o IP e o acesso à internet!

19
Teoria de roteamento IP + ARP

20
ANALISANDO O SEGUINTE CENÁRIO

21
TABELAS DE ROTAS RIB E FIB

22
TABELAS DE ROTAS RIB E FIB

23
Roteamento Estático > 1

24
Roteamento Estático > 2

25
Roteamento Estático > 3

26
ECMP - Equal cost multi path
A rota possui mais de um gateway

/ip route
add gateway=192.168.2.1,192.168.4.1

/ip route
add gateway=192.168.1.2,192.168.3.2
dst-address=10.2.2.0/24
27
DISTANCE E CHECK-GATEWAY (DEMO)

● Check gateway – a cada 10 segundos

envia ou um ICMP echo request (ping) ou
um ARP request.
● Se várias rotas usam o mesmo gateway e
existe uma rota que tem a opção
check-gateway habilitada, então todas as
rotas estarão sujeitas ao comportamento
do check-gateway
28
Fixando o gateway
à uma interface
O processo de nexthop lookup usará a
interface como critério para validar o gateway

/ip route
add dst-address=192.168.11.0/24
gateway=10.255.1.1%wlan-grupo1

29
TIPOS DE ROTAS

30
CRITÉRIOS PARA MANUSEIO DAS TABELAS

● Uma rota só vai para a FIB se o processo de

nexthop-lookup foi bem sucedido
● Não admite rotas iguais na FIB
○ desempate com atributo distance (< preferida)
● A rota usada é sempre a mais específica
● O roteador busca pela rota mais específica em
toda a tabela FIB e salva a decisão em memória
● Nova busca é feita a cada alteração na FIB
(e a cada 10 minutos)

31
DISTANCE POR PROTOCOLO

protocol distance

connected 0

static 1

eBGP 20

OSPF 110

RIP 120

MME 130

iBGP 200

32
 DIAGRAMA DO LABORATÓRIO

AP
ether2 = 192.168.XY.1/24 Station = 10.255.X.Y/24
PC = 192.168.XY.2 AP = 10.255.X.254
DNS = 1.1.1.1

SSID=grupo1 SSID=grupo2

33
VALIDAÇÃO

● REMOVA a bridge criada anteriormente

● CONECTE no router via IP
● VERIFIQUE se seu router pinga em todos
os vizinhos diretos (direita, esquerda, AP)
○ Dica: consulte /ip neighbor

34
 LAB > Roteamento estático 1
● Objetivo – Cada PC deve conseguir alcançar todo
PC do seu grupo.
● Exercício – Criar rotas para as redes LAN
usando como gateway o vizinho da
ether1 . Habilite o check-gateway.
● No PC, testar com ping e traceroute .

35
LAB > Roteamento estático 2
● Objetivo – Ter redundância para cada rota estática
criada anteriormente.
● Exercício – Criar novas rotas para redundância local,
usando distance 2 e gateway para o sentido anti-horário.
●
● No PC, verifiquem possíveis problemas com traceroute
.

36
LAB > Política de roteamento
● Objetivo – Complementar redundância do exercício
anterior. Continuar o sentido anti-horário caso receba
pacotes em ether1
● Exercício – Duplicar as rotas de backup e inseri-las em
nova tabela anti-horário usando o campo routing-mark
nas novas rotas

37
Política de roteamento
● Policy Based Routing permite alterarmos a
decisão padrão do router para atender condições
específicas determinadas pelo administrador da rede.
● Necessário realizar dois passos:
○ Criar as novas decisões
○ Criar as condições desejadas

38
Política de roteamento

As novas rotas são

inseridas em novas
tabelas através do
uso do routing-mark.
/ip route
add routing-mark=REDUNDANCIA \
dst-address=192.168.11.0/24 \
gateway=10.1.1.1

39
Política de roteamento
O uso das novas tabelas é possível de duas maneiras:

● Regras de rotas
/ip route rule
add interface=ether1 \
table=REDUNDANCIA

40
Política de roteamento
O uso das novas tabelas é possível de duas maneiras:

● Firewall Mangle
/ip firewall mangle
add action=mark-routing chain=prerouting \
in-interface=ether1 new-routing-mark=REDUNDANCIA

41
Política de roteamento

PBR com Mangle

Possível apenas nas chains prerouting e output.

/ip firewall mangle

add action=mark-routing chain=prerouting \
dst-address=1.1.1.1 new-routing-mark=BLOQUEIO
add action=mark-routing chain=output
dst-address=1.1.1.1 new-routing-mark=BLOQUEIO
42
LAB > Política de roteamento
● Objetivo – Complementar redundância do exercício
anterior. Continuar o sentido anti-horário caso receba
pacotes em ether1
● Exercício – Duplicar as rotas de backup e inseri-las em
nova tabela anti-horário usando o campo routing-mark
nas novas rotas

43
 LAB > POLÍTICA DE ROTEAMENTO

Para terem acesso à internet:

● R1 e R2:
○ Criar rota padrão para o AP da sala e NAT para a
interface wireless
● Demais roteadores:
○ Criar rota padrão para sentido horário
○ Criar rota padrão para sentido anti-horário
○ Criar rota padrão na tabela alternativa

44
PREFERENCIAL SOURCE > Pref. Source

2 IPs na WAN

10.0.0.10/24
10.0.0.11/24
output

IP a ser utilizado pelo router

45
 TTL > Time to live

● É o limite máximo de saltos que um pacote pode dar até ser descartado;
● O valor padrão do TTL é 64 e cada roteador decrementa este valor em 1
antes de passá-lo adiante;
● O menu Firewall Mangle pode ser usado para manipular este parâmetro;
● O roteador não passa adiante pacotes com TTL=1;
● Útil para evitar que usuários criem rede com nat a partir da sua rede.

46
 Campo Type

47
Scope e Target Scope (alcance recursivo)

Alcance padrão da rota Tipo de rota Limite do alcance na

pesquisa nexthop-lookup

48
Scope e Target Scope (alcance recursivo)

Limite do alcance na
pesquisa nexthop-lookup

Alcance da rota

49
Roteamento Dinâmico

50
 Roteamento Dinâmico

● O RouterOS suporta os seguintes protocolos:

○ RIP versão 1, 2 e ng;
○ OSPF versão 2 e 3;
○ BGP versão 4;
○ MPLS.

○ O uso de protocolos de roteamento dinâmico

permite implementar redundância e balanceamento
de links de forma automática. Além de oferecerem
recursos complexos de controle de tráfego. 51
 Autonomous System

● Um AS é o conjunto de redes IP e roteadores sobre o

controle de uma mesma entidade que representam uma
única política de roteamento para o restante da rede;
● Um AS era identificado por um número de 16 bits (0–65535);
● Os novos AS são identificados por um número de 32 bits.

52
 Roteamento dinâmico - BGP

● O protocolo BGP é destinado a fazer comunicação

entre AS distintos, podendo ser considerado como
o coração da Internet.
● O BGP mantém uma tabela de “prefixos” de rotas
contendo informações para se encontrar
determinadas redes entre os AS.
● A versão corrente do BGP no MikroTik é a 4,
especificada na RFC 1771.

53
Roteamento dinâmico - BGP

54
 OSPF (Open Shortest Path First)

● O protocolo OSPF utiliza o estado do link e o algoritmo de

Dijkstra para construir e calcular o menor caminho para
todos destinos conhecidos na rede;
● O OSPF é reconhecido na pilha IP pelo código 89;
● E distribui informações de roteamento entre roteadores
pertencentes ao mesmo AS;
● OSPF é um protocolo para uso como IGP (Interior gateway
protocol).

55
LAB > OSPF básico

● Objetivo – Rotear via OSPF todas as redes locais a fim de

conhecer e alcançar todos os destinos. Cada PC deve ser
capaz de se comunicar livremente na rede;
● Basta um único passo para o OSPF funcionar:
○ Adicionar redes válidas em /routing ospf network
● Remova todas as rotas estáticas do seu router com
exceção da rota padrão (0.0.0.0/0);
● R1 e R2, removam o NAT.

56
 Networks (redes) OSPF

● Ao adicionar uma rede em /routing ospf network o

roteador fará o seguinte:
○ Ativará OSPF nas interfaces que tem um endereço
de IP que estiver no range da rede adicionada;
○ Enviará a rede adicionada para os outros
roteadores.

57
 Pacote Hello e intervalos
Cada router envia constantemente pacotes chamados Hello para
validar a existência e disponibilidade de router cada vizinho.

● Hello interval: frequência de envio.

● Router Dead Interval: tolerância para
aguardar o ack do vizinho em
resposta ao hello. O vizinho é
considerado “morto” caso não
confirme sua presença.
● Transmit Delay: tempo estimado para
envio de updates, através de
mensagens lsa*.
● Retransmit Interval: tolerância para
aguardar o ack do vizinho em
recebimento dos lsa enviados. O lsa é
retransmitido caso o ack não chegue.
58
 Neighbors (vizinhos) OSPF
● Os roteadores OSPF encontrados estão listados na aba Neighbors
(vizinhos);
● Após a vizinhança ser estabelecida cada um irá apresentar um
status operacional conforme descrito abaixo:
○ Full: Base de dados completamente sincronizada;
○ 2-way: Comunicação bi-direcional estabelecida;
○ Down, Attempt, Init, Loading, ExStart, Exchange: Não finalizou
a sincronização completamente.

59
 DR e BDR (designated router)

● Para reduzir o tráfego OSPF em redes do tipo Broadcast

e NBMA, uma única fonte para atualização de rotas é
criada – o roteador designado (DR);
● Um DR mantém uma tabela completa da topologia da
rede e envia atualizações para os demais roteadores;
● O roteador com maior prioridade é eleito como DR;
● Também será eleito um roteador de backup, o BDR;
● Roteadores com prioridade 0 nunca serão DR ou BDR;
● O desempate das prioridades é feito pelo maior
router-id.
60
DR e BDR (designated router)

61
 Network type (tipos de rede)

● Três tipos de rede são definidos no protocolo OSPF:

Point to point (não há eleição de DR e BDR)

Broadcast

Non-Broadcast Multiple Access (NBMA)

62
 NBMA Neighbors

● Em uma interface com o tipo de rede NBMA, o router

envia os pacotes de “hello” em unicast ao invés de
multicast (224.0.0.5);
● Com isso se faz necessário especificar os vizinhos
manualmente em /routing ospf nbma-neighbor

63
 NBMA Neighbors

● A prioridade determina a chance do router ser eleito DR.

64
LAB > Network type

Ajuste o tipo de rede de acordo com nossa topologia:

● Os enlaces (ether1 e ether3) devem usar o tipo point-to-point;
● As redes sem-fio devem permanecer com o tipo broadcast.

○ Confira a lista de LSA em /routing ospf lsa

65
 LAB > Interface loopback

Interface loopback favorece uma administração simplificada da rede;

1. Criamos uma bridge e nomeamos ela como loopback;
○ Esta nova bridge não deve conter qualquer interface!
2. Adicionamos novo IP à interface
loopback com máscara /32;
○ /ip address
add interface=loopback
address=10.255.255.XY/32
3. Adicionamos este novo IP nas
redes do OSPF para roteamento.
○ /routing ospf network
add area=backbone
network=10.255.255.XY

66
 Router ID e loopback

● Cada roteador do AS deve ser identificado com um ID único;

● Automaticamente, o menor IP existente em “IP list” será utilizado;
● É uma boa prática utilizar o endereço de loopback como Router ID.

1 - Copiar o endereço de loopback

2 – Colar no Roter ID

67
OSPF Instance

68
 OSPF Instance
● Router ID: Geralmente o IP do roteador. Caso não seja especificado o
roteador usará o maior IP que exista na interface.
● Redistribute Default Route:
○ Never: nunca distribui rota padrão.
○ If installed (as type 1): Envia com métrica 1 se a rota tiver as flags AS.
○ If installed (as type 2): Envia com métrica 2 se a rota tiver as flags AS.
○ Always (as type 1): Sempre, com métrica 1.
○ Always (as type 2): Sempre, com métrica 2.
● Redistribute Connected Routes: redistribuir todas as rotas diretamente
conectadas.
● Redistribute Static Routes: redistribui rotas estáticas (AS).
● Redistribute RIP Routes: redistribui rotas aprendidas por RIP (DAr).
● Redistribute BGP Routes: redistribui rotas aprendidas por BGP (DAb).
● Redistribute Other OSPF Routes: redistribui rotas OSPF de outras
instâncias (DAo).
■ Na aba “Metrics” é possível modificar as métricas que serão
exportadas as diversas rotas.
69
 OSPF > Métrica tipo 1
● O tipo 1 soma o custo externo ao custo interno.

Cost=10
Custo total=40
Cost=10
Cost=10
Cost=10

Origem

Cost=10

Cost=9 Cost=10
Custo total=49 Destino

ASBR
70
 OSPF > Métrica tipo 2
● Métrica do tipo 2 usa somente o custo externo.

Cost=10
Custo total=10

Origem

Cost=9
Custo total=9 Destino

ASBR
71
LAB > Manipulando custos

● Por padrão todas interfaces tem custo 10.

● Verifique rotas ECMP em sua tabela de roteamento.
● Atribua custos para garantir que o tráfego interno do
seu grupo siga no sentido horário (similar ao LAB de
roteamento estático;
● Para alterar este padrão você deve adicionar interfaces
manualmente em /routing ospf interfaces;
○ Confira o resultado com traceroute;
○ Verifique a redundância da rede.

72
LAB > Tráfego proposto

73
LAB > Redistribuição de rotas estáticas

● Crie uma rota estática na FIB com o seguinte destino:

172.16.XY.0/24
● Habilite a redistribuição de rotas estáticas
● Confira em /ip route as novas rotas
○ Confira a lista de LSA em /routing ospf lsa

74
OSPF > Interface Passiva

● O modo passivo desativa as mensagens de “Hello”

enviadas pelo OSPF ;
● Portanto ativar este recurso é sinônimo de segurança.

75
 OSPF > Autenticação

O RouterOS suporta os seguintes métodos de autenticação:

● None: Sem autenticação (default);
● Simple: Autenticação em texto plano;
● MD5: Autenticação com criptografia md5.

76
 CRITÉRIOS DE VIZINHANÇA E ADJACÊNCIA

1. Estar no mesmo segmento de rede ;

2. Estar na mesma sub-rede ;
3. Ter mesmo valor de MTU;
4. Ter mesmos valores de intervalo nos pacotes de
“hello” e “router dead”;
5. Ter mesmo tipo de rede ou compatível;
6. Estar na mesma area ;
7. Ter mesmo tipo de área .

77
OSPF > Áreas

● A criação de áreas permite você agrupar uma coleção

de roteadores;
● A estrutura de uma área não é visível para outras áreas;
● Cada área executa uma cópia única do algoritmo de
roteamento;
● As áreas são identificadas por um número de 32 bits
(0.0.0.0 – 255.255.255.255);
● Esses números devem ser únicos para o AS.

78
OSPF > Área de backbone

● A área backbone é o coração da rede OSPF.

Ela possui o ID (0.0.0.0) e deve sempre existir;
● A backbone é responsável por transmitir informações
de roteamento entre as demais áreas;
● A demais áreas devem estar conectadas a área de
backbone direta ou indiretamente .

79
Exemplo de AS e várias áreas

80
 Tipos de roteadores no OSPF

Tipos de roteadores em OSPF são:

● Roteadores internos a uma área.
● Roteadores de backbone (área 0).
● Roteadores de borda de área (ABR).
○ Os ABRs devem ficar entre duas áreas e devem
tocar a área 0.
● Roteadores de borda Autonomous System (ASBR).
○ São roteadores que participam do OSPF mas
fazem comunicação com um AS.

81
 OSPF e o AS

ASBR

ABR Area
Area

ABR ABR

Area Area

ASBR

82
 Virtual Link

ASBR
83
 Virtual Link

Utilizado para conectar áreas remotas ao

backbone através de áreas não-backbone:
/routing ospf virtual-link
add neighbor-id=10.255.255.11 transit-area=area-nova

84
 Separando as redes e áreas

Dois passos são necessários para usar área no OSPF:

1. Criar a nova área em /routing ospf area

85
 Separando as redes e áreas

Dois passos são necessários para usar área no OSPF:

2. Usar a nova área em /routing ospf network

86
 LAB > Cada grupo terá sua própria ÁREA

● Todos os roteadores criam nova área seguindo o seguinte

padrão: area-id=0.0.0.X ;
● Todos os roteadores devem usar a nova área para todas
as redes . R1 e R2 serão ABR e
devem manter a rede wireless na área backbone;
● Confiram as vizinhanças e o roteamento, tudo deve
continuar como antes.

87
Agregação de áreas

● Utilizado para agregar uma range

de redes em uma única rota;
● É possível atribuir um custo para
essas rotas agregadas.

88
 LSA (link-state advertisement)

Os roteadores se comunicam através de mensagens específicas, cada

uma contém um tipo de informação e servem para propósitos diversos.

● Tipo 1 Router
Há um para cada roteador da área, e não ultrapassa a área;
● Tipo 2 Network
É gerado pelo DR e circula apenas pela área, não atravessa
o ABR;
● Tipo 3 Summary Network
É gerado pelo ABR e descreve o número da rede e a
máscara, e por default não são sumarizadas. Não é
envidado para as áreas STUB e NSSA;

89
 LSA (link-state advertisement)

● Tipo 4 Summary ASBR

É gerado pelo ABR apenas quando existe um ASBR
dentro da área e informa a rota para que todos cheguem
ao ASBR;
● Tipo 5 AS External
Usado para transportar redes de outro AS e não são
enviados para áreas STUB e NSSA;
● Tipo 7
São gerados em áreas NSSA pelo ASBR e o ABR (caso
configurado, converte o LSA ao tipo 5 para outras áreas.

90
Área Stub

● Uma área Stub é uma área que não recebe

rotas de AS externos;
● Tipicamente todas rotas para os AS
externos são substituídas por uma rota
padrão. Esta rota será criada
automaticamente por distribuição do ABR;
● A opção Inject Summary LSA permite o
ABR deixar passar os sumários de outras
áreas para dentro da área stub.;
● Dentro desta área não é permitido ASBR;
● O custo padrão dessa área é 1.

91
Área Stub

92
 Área NSSA (Not-so-stub-area)

● Um área NSSA é um tipo de área stub que tem

capacidade de injetar transparentemente rotas para o
backbone;
● Translator role – Esta opção permite controlar que ABR
da área NSSA irá atuar como repetidor do ASBR para a
área de backbone:
○ Translate-always: roteador sempre será usado como
tradutor.
○ Translate-candidate: ospf elege um dos roteadores
candidatos para fazer as traduções.

93
Área NSSA

94
Problemas com túneis em OSPF

ABR

PPPoE
server

PPPoE
server

95
“Área do PPPoE” do tipo stub

ABR

PPPoE
Area1 server ~500 PPPoE clients

Area type = stub

PPPoE
server
~ 1000 PPPoE clients

96
“Área do PPPoE” do tipo default

ABR
PPPoE
~500 PPPoE clients
server
Area1

Area type = default

~ 1000 PPPoE clients

PPPoE
server

97
 Filtros de Roteamento

● É possível criar um filtro de rotas para evitar que todas

rotas /32 se espalhem pela rede OSPF; Para isso é
necessário ter uma rede que sumarize todos os túneis;
● Uma boa forma de ser fazer isso é atribuindo o
endereço de rede da rede de túneis agregada a
interface do concentrador;
● Vale ressaltar que este método é considerado por
muitos como “gambiarra”. É complexo e trabalhoso.

98
Gambiarra > Passo 1 > Instance

Ativar a redistribuição de rotas conectadas:

99
Gambiarra > Passo 2 > Network

Desativar o prefixo dos túneis em /routing ospf network

100
Gambiarra > Passo 3 > Novo IP

Adicionar nova “rota conectada” em /ip address

101
Gambiarra > Passo 4 > Routing filter

102
Gambiarra > Passo 5 > Nova rota

A nova rota evitará loop e tráfego desnecessário

103
 Resumo OSPF

● Para segurança da rede OSPF:

○ Use chaves de autenticação;
○ Use interface passiva.
● Para aumentar a performance da rede OSPF:
○ Use o tipo adequado de rede ;
○ Use o tipo adequado de área;
○ Use agregação de área sempre que possível;
○ Use maior prioridade para os DR.
● Utilize sempre como boa prática a loopback

104
Endereçamento de
ponto-a-ponto
● Comparando a utilização de endereçamento para
enlaces:
○ /30 = 4 IPs, apenas 2 úteis
○ /32 = 2 IPs, 2 úteis

105
 Endereçamento /30

ether1: 10.2.2.2/30 ether1: 10.3.3.2/30

ether1: 10.1.1.1/30
ether1: 10.2.2.1/30
ether1: 10.1.1.2/30 ether1: 10.3.3.1/30

106
 Endereçamento ponto-a-ponto

● Endereçamento ponto-a-ponto utiliza apenas dois IPs por

enlace enquanto o /30 utiliza quatro IPs;
● Não existe endereço de broadcast, mas o endereço de
rede deve ser configurado manualmente com o IP do
lado oposto. Exemplo:
○ Router1: address=10.1.1.1/32, network=10.2.2.2
○ Router2: address=10.2.2.2/32, network=10.1.1.1

● Podem existir endereços idênticos no router se forem /32

– cada endereço terá rota conectada diferente.

107
Endereçamento ponto-a-ponto

ether1: 10.3.3.3/32
network: 10.1.1.1

108
 Endereçamento ponto-a-ponto

● Geralmente usado em túneis

● Pode ser usado para economia de IPs.

Router 1 Router 2

109
Túneis e VPN

110
 Tunelamento
A definição de tunelamento é a capacidade de criar túneis entre dois hosts por
onde trafegam dados, garantindo o isolamento da comunicação fim-a-fim.
O routerOS implementa diversos tipos de túneis, tanto servidor quanto cliente:
● PPP
● PPPoE
● PPTP
● L2TP
● SSTP
● OVPN
● IPSec
● Túnel IPIP
● Túnel EoIP
● Túnel VPLS
● Túnel TE
● Túnel GRE

111
 VPN

● Uma Rede Privada Virtual é uma rede de

comunicações privada normalmente
utilizada por uma empresa ou conjunto de
empresas e/ou instituições, construídas
em cima de uma rede pública. O tráfego
de dados é levado pela rede pública utilizando
protocolos padrão, não necessariamente seguros.
● VPNs seguras usam protocolos de criptografia por tunelamento que
fornecem confidencialidade, autenticação e integridade necessárias
para garantir a privacidade das comunicações requeridas. Quando
adequadamente implementados, estes protocolos podem assegurar
comunicações seguras através de redes inseguras.

112
 VPN

As principais características da VPN são:

● Promover acesso seguro sobre meios físicos públicos como a
internet por exemplo.
● Promover acesso seguro sobre linhas dedicadas, wireless, etc.
● Promover acesso seguro a serviços em ambiente corporativo de
correio, impressoras, etc.
● Fazer com que o usuário, na prática, se torne parte da rede
corporativa remota recebendo IPs desta e perfis de segurança
definidos.
● A base da formação das VPNs é o tunelamento entre dois pontos,
porém tunelamento não é sinônimo de VPN.

113
Site-to-site

114
Conexão Remota

115
 PPP – Definições Comuns

• MTU/MRU: Unidade máximas de transmissão/recepção em bytes.

Normalmente o padrão ethernet permite 1500 bytes. Em serviços PPP
que precisam encapsular os pacotes, deve-se definir valores menores
para evitar fragmentação.

• Keepalive Timeout: Define o período de tempo em segundos após o

qual o roteador começa a mandar pacotes de keepalive por segundo.
Se nenhuma resposta é recebida pelo período de 2 vezes o definido em
keepalive timeout o cliente é considerado desconectado.

• Authentication: As formas de autenticação permitidas são:

○ Pap: Usuário e senha em texto plano sem criptografia.
○ Chap: Usuário e senha com criptografia.
○ Mschap1: Versão chap da Microsoft conf. RFC 2433
○ Mschap2: Versão chap da Microsoft conf. RFC 2759

116
 PPP – Definições Comuns

● PMTUD: Se durante uma comunicação alguma estação enviar pacotes IP

maiores que a rede suporte, ou seja, maiores que a MTU do caminho, então
será necessário que haja algum mecanismo para avisar que esta estação
deverá diminuir o tamanho dos pacotes para que a comunicação ocorra com
sucesso. O processo interativo de envio de pacotes em determinados
tamanhos, a resposta dos roteadores intermediários e a adequação dos
pacotes posteriores é chamada Path MTU Discovery ou PMTUD.
Normalmente esta funcionalidade está presente em todos roteadores,
sistemas Unix e no MikroTik ROS.
● MRRU (Maximum Receive Reconstructed Unit): Tamanho máximo do
pacote, em bytes, que poderá ser recebido pelo link. Se um pacote ultrapassa
esse valor ele será dividido em pacotes menores, permitindo o melhor
dimensionamento do túnel. Especificar o MRRU significa permitir MP
(Multilink PPP) sobre túnel simples. Essa configuração é útil para o PMTUD
superar falhas. Para isso o MP deve ser configurado em ambos lados.

117
 PPP – Definições Comuns

Change MSS: Maximun Segment Size, tamanho máximo do segmento

de dados. Um pacote MSS que ultrapasse o MSS dos roteadores por
onde o túnel está estabelecido deve ser fragmentado antes de enviá-lo.
Em alguns caso o PMTUD está quebrado ou os roteadores não
conseguem trocar informações de maneira eficiente e causam uma
série de problemas com transferência HTTP, FTP, POP, etc. Neste caso
Mikrotik proporciona ferramentas onde é possível interferir e configurar
uma diminuição do MSS dos próximos pacotes através do túnel
visando resolver o problema.

118
PPPoE > PPP over Ethernet
RFC 2516

● Acontece em 2 estágios:
○ Discovery (0x8863)
○ Session (0x8864)

● Substitui o DHCP em
redes controladas.

119
 PPPoE > Cliente e Servidor

● PPPoE é uma adaptação do PPP para funcionar em redes ethernet.

Pelo fato da rede ethernet não ser ponto a ponto, o cabeçalho PPPoE
inclui informações sobre o remetente e o destinatário,
desperdiçando mais banda. Cerca de 2% a mais;
● Muito usado para autenticação de clientes com base em Login e
Senha. O PPPoE estabelece sessão e realiza autenticação com o
provedor de acesso a internet;
● O cliente não tem IP configurado, o qual é atribuído pelo Servidor
PPPoE (BRAS, concentrador) normalmente operando em conjunto
com um servidor Radius. No MikroTik não é obrigatório o uso de
Radius pois o mesmo permite criação e gerenciamento de usuários e
senhas em uma tabela local;
■ PPPoE por padrão não é criptografado. O método MPPE
pode ser usado desde que o cliente suporte este método.
120
 PPPoE > Cliente e Servidor

● O cliente descobre o servidor

através do protocolo pppoe
discovery que tem o nome do
serviço a ser utilizado.
● Precisa estar no mesmo
barramento físico ou os
dispositivos passarem pra
frente às requisições PPPoE
usando pppoe relay.
● No MikroTik o valor padrão do Keepalive Timeout é 10, e funcionará bem
na maioria dos casos. Se configurarmos pra zero, o servidor não
desconectará os clientes até que os mesmos solicitem ou o servidor seja
reiniciado.

121
PPPoE > Discovery stage

122
Configuração do Servidor PPPoE

123
 Configuração do Servidor PPPoE

3. Adicione um usuário e senha

/ppp secret
add name=usuario password=123456
service=pppoe profile=perfil-pppoe

Obs: Caso queira verificar o MAC-Address,

adicione em Caller ID. Esta opção não é
obrigatória, mas é um parâmetro a mais para
segurança.

124
 Configuração do Servidor PPPoE

4. Adicione o Servidor PPPoE

Service Name = Nome que os clientes vão
procurar (pppoe-discovery) (opcional).
Interface = Interface onde o servidor pppoe vai
escutar.

/interface pppoe-server server

add authentication=chap,mschap1,mschap2 \
interface=wlan1

125
Mais sobre perfis

● Bridge: Bridge para associar ao perfil

● Incoming/Outgoing Filter: Nome do canal do
firewall para pacotes entrando/saindo.
● Address List: Lista de endereços IP para
associar ao perfil.
● DNS Server: Configuração dos servidores DNS
a atribuir aos clientes.
● Use Compression/Encryption/Change TCP
MSS: caso estejam em default, vão associar ao
valor que está configurado no perfil
default-profile.

126
Mais sobre perfis

● Session Timeout: Duração máxima de uma

sessão PPPoE.
● Idle Timeout: Período de ociosidade na
transmissão de uma sessão. Se não houver
tráfego IP dentro do período configurado, a
sessão é terminada.
● Rate Limit: Limitação da velocidade na forma
rx-rate/tx-rate. Pode ser usado também na
forma rx-rate/tx-rate rx-burst-rate/tx-burstrate
rx-burst-threshould/tx-burst-threshould
burst-time priority rx-rate-min/tx-rate-min.
● Only One: Permite apenas uma sessão para o
mesmo usuário.

127
Mais sobre o database

● Service: Especifica o serviço disponível para

este cliente em particular.
● Caller ID: MAC Address do cliente.
● Local/Remote Address: Endereço IP Local
(servidor) e remote(cliente) que poderão ser
atribuídos a um cliente em particular.
● Limits Bytes IN/Out: Quantidade em bytes que
o cliente pode trafegar por sessão PPPoE.
● Routes: Rotas que são criadas do lado do
servidor para esse cliente específico. Várias
rotas podem ser adicionadas separadas por
vírgula.

128
 Mais sobre o PPPoE Server
O concentrador PPPoE do Mikrotik suporta múltiplos
servidores para cada interface com diferentes nomes de
serviço. Além do nome do serviço, o nome do
concentrador de acesso pode ser usado pelos clientes
para identificar o acesso em que se deve registrar. O
nome do concentrador é a identidade do roteador. O valor
de MTU/MRU inicialmente recomendado para o PPPoE é
1480 bytes. Em uma rede sem fio, o servidor PPPoE pode
ser configurado no AP. Para clientes Mikrotik, a interface
de rádio pode ser configurada com a MTU em 1600 bytes
e a MTU da interface PPPoE em 1500 bytes.
Isto otimiza a transmissão de pacotes e evita problemas associados a MTU menor
que 1500 bytes. Até o momento não possuímos nenhuma maneira de alterar a
MTU da interface sem fio de clientes MS Windows. A opção One Session Per Host
permite somente uma sessão por host (MAC Address). Por fim, Max Sessions
define o número máximo de sessões que o concentrador suportará.

129
 Configurando o PPPoE Client

● AC Name: Nome do concentrador ;

● Service: Nome do serviço designado no servidor PPPoE;
● Dial On Demand: Disca sempre que é gerado tráfego de saída;
● Add Default Route: Adiciona a rota padrão .
● User Peer DNS: Usa o DNS do servidor PPPoE.

130
VPN > PPTP, L2TP, SSTP

131
 PPTP

● O PPTP (protocolo de tunelamento ponto-a-ponto) provê túneis

criptografados sobre o IP;

● Pode ser usado para criar conexões “seguras” entre redes através
da Internet;
● O RouterOS suporta ambos o PPTP cliente e o PPTP server;
● Usa porta TCP 1723 e o protocolo IP de número 47
GRE ;
● NAT helpers são usados para garantir o suporte ao PPTP em
redes com NAT.

132
 L2TP

● L2TP – Layer 2 Tunnel Protocol (protocolo de tunelamento em

camada 2) é um protocolo de tunelamento seguro para transportar
tráfego IP utilizando PPP. O protocolo L2TP trabalha na camada 2
de forma criptografada (ou não) e permite enlaces entre
dispositivos de redes diferentes unidos por diferentes protocolos.
● O tráfego L2TP utiliza protocolo UDP tanto para controle como
para pacote de dados. A porta UDP 1701 é utilizada para o
estabelecimento do link e o tráfego em si utiliza qualquer porta
UDP disponível, o que significa que o L2TP pode ser usado com a
maioria dos firewalls e routers, funcionando também através de
NAT.
● L2TP e PPTP possuem as mesma funcionalidades.

133
 Configuração do Servidor PPTP e L2TP

Configure um pool, um perfil para o PPTP, adicione um usuário em

“secrets” e habilite o servidor PPTP conforme as figuras.

134
 Configuração do Servidor PPTP e L2TP

● Configure os
servidores PPTP e
L2TP.
● Atente para utilizar
o perfil correto.
● Configure nos hosts
locais um cliente
PPTP e realize
conexão com um
servidor da outra
rede.

135
 Configuração do Servidor PPTP e L2TP

● As configurações para o cliente PPTP e L2TP são bem

simples, conforme observamos nas imagens.

136
 SSTP

● Secure Socket Tunnelling Protocol provê túnel

criptografado sobre IP;
● Usa porta tcp/443 ;
● O RouterOS suporta ambos SSTP client e server;
● O SSTP client está disponível no Windows 7 e posterior;
● Para Linux existem implementações Open Source tanto
para cliente e servidor;
● Como o tráfego é idêntico ao HTTPS, usualmente o túnel
SSTP pode atravessar facilmente os firewalls sem
configuração adicional.

137
 SSTP Client

Atribua o
name,
endereço IP
do servidor
SSTP,
usuário,
senha

138
 SSTP Client

● Use com cuidado 'Add Default Route' para enviar

todo tráfego através do túnel SSTP. Pois esse
recurso pode derrubar a própria VPN.
● Use rotas estáticas para enviar tráfegos
específicos através do túnel SSTP.

139
 SSTP Client

● Não é necessário usar certificados para conectar

dois dispositivos RouterOS
● Para conectar pelo Windows, é necessário um
certificado válido
● Pode ser emitido por uma entidade certificadora –
certificate authority (CA)

140
LAB > SSTP site-to-site

141
LAB > SSTP site-to-site

OBJETIVO: dois a dois, PC falar com PC.

● DESATIVAR o roteamento via OSPF da rede LAN;

● FECHAR vpn com o vizinho através dos IPs de loopback;
● ROTEAR as redes LAN estaticamente;
● CONFERIR com traceroute (tracert -d).

142
 Túnel IPIP

● IPIP é um protocolo que encapsula pacotes IP sobre o próprio

protocolo IP baseado na RFC 2003. É um protocolo simples que
pode ser usado para interligar duas intranets através da internet
usando 2 roteadores.
● A interface do túnel IPIP aparece na lista de interfaces como se
fosse uma interface real.
● Vários roteadores comerciais, incluindo CISCO e roteadores
baseados em Linux suportam este protocolo.
● Um exemplo prático de uso do IPIP seria a necessidade de
monitorar hosts através de um NAT, onde o túnel IPIP colocaria a
rede privada disponível para o host que realiza o monitoramento,
sem a necessidade de criar usuário e senha como nas VPNs.

143
Túnel IPIP

144
LAB > Túnel IPIP

1. Dois a dois, fechar o túnel em /interface;

2. Adicionar IP de ponto-a-ponto à interface do túnel
(172.20.X.Y/32, em cada router);
3. Testar a conectividade do túnel em cada router;
4. Rotear as redes LAN para o túnel;
5. Testar a conectividade PC a PC com ping e traceroute
(tracert -d).

145
 Túnel EoIP

● EoIP é um protocolo proprietário MikroTik para

encapsulamento de todo tipo de tráfego sobre o protocolo IP.
● Quando habilitada a função de Bridge dos roteadores que estão
interligados através de um túnel EoIP, todo o tráfego é passado de
uma lado para o outro de forma transparente mesmo roteado pela
internet e por vários protocolos.
● O protocolo EoIP possibilita:
○ Interligação em bridge de LANs remotas através da internet.
○ Interligação em bridge de LANs através de túneis criptografados.

● A interface criada pelo túnel EoIP suporta todas funcionalidades de

uma interface ethernet. Endereços IP e outros túneis podem ser
configurados na interface EoIP. O protocolo EoIP encapsula frames
ethernet através do protocolo GRE.

146
Túnel EoIP

147
 Túnel EoIP

● Criando um túnel EoIP entre as

redes por trás dos roteadores
10.0.0.1 e 22.63.11.6.
● Os MACs devem ser diferentes
e estar entre o rage:
00-00-5E-80-00-00 e
00-00-5E-FF-FF-FF, pois são
endereços reservados para
essa aplicação.
● O MTU deve ser deixado em
1500 para evitar fragmentação.
● O túnel ID deve ser igual para
ambos.

148
 Túnel EoIP

● Adicione a interface EoIP à bridge

juntamente com a interface que fará
parte do mesmo domínio de broadcast.

149
LAB > Túnel EoIP

1. Dois a dois, fechar o túnel em /interface;

2. Criar nova bridge;
3. Adicionar na bridge o túnel;
4. Adicionar na bridge a interface ether-LAN;
Agora vocês estão no mesmo domínio de broadcast!

5. Adicionar novo IP no PC (192.168.X.Y/24);

6. Testar conectividade PC a PC com ping e arp -a.

150
Bridge Control Protocol
(BCP)
O routerOS suporta BCP para os protocolos PPP, PPTP,
L2TP e PPPoE.
● Viabiliza a introdução dos túneis acima em uma bridge existente no router;
● Os túneis podem ser criptografados e passam a transmitir frames
ethernet, útil para estender um domínio de broadcast através da internet
de maneira “segura”.
● Tanto o cliente quanto o servidor precisam do recurso habilitado.
● Setup simples e pode “substituir” o EoIP + VPN.

151
PPTP + BCP

152
PPTP + BCP

153
Virtual LAN (802.1Q)

154
 Virtual LAN (802.1Q)

● VLAN permite agrupar dispositivos de rede em

sub-grupos independentes, mesmo estando num
mesmo segmento LAN (mesmo domínio de broadcast);
● Para os roteadores se comunicarem na VLAN é
necessário que as interfaces VLAN tenham o mesmo ID
(vlan-id);
● Um router suporta até 4095 VLANS em uma mesma
interface ethernet;
○ Os vlan-id 0, 1 e 4095 são reservados para usos especiais e não devem
ser usados normalmente.

○ Uma VLAN pode ser configurada sobre outra VLAN.

Isto é o “Q-in-Q” (vindo do 802.1Q).
155
Exemplo de VLAN

Rede
Ethernet
vlan1: 10.1.1.1/24
vlan2: 10.2.2.1/24
vlan3: 10.3.3.1/24

156
Criando a interface VLAN

157
LAB > VLAN no router

● Criar uma vlan em cada interface ethernet com os

vizinhos (combinem os ID);
● Migrar os IPs das interfaces para as vlans criadas;
● Verificar a conectividade (ping) com os vizinhos;
● Verificar o roteamento na rede com traceroute;
● Verificar o tráfego nas interfaces VLAN.

158
 VLAN no Switch

● As interfaces de um switch gerenciável podem ser atribuídas a

um ou mais grupos de VLAN, baseados em tags;
● Em cada grupo, as interfaces do switch podem ser
configuradas como:
■ Tagged – permite adicionar a tag do grupo ao transmitir
os frames e permite receber (apenas) frames com a
mesma tag;
■ Untagged – permite remover a tag ao transmitir e
permite receber (apenas) pacotes sem tag;
■ Undefined – interface não tem tag (interface comum);
■ Trunk – interface com várias tags para os vários grupos
de VLAN.
159
 Switch Chip
disabled - ignora a tabela de vlans, trata o frame com tag como se não tivesse
tag - switch comum;
fallback - o modo padrão - frames com tag desconhecida (que não está
presente na tabela de vlans) são tratados como se não tivessem vlan. Frames
com tag conhecidas (que estão presentes na tabela) mas que chegam por
interface que não pertençam a qualquer vlan, não são descartados;
check - descarta frames com tag se esta não existir na tabela de vlans.
Frames com tag que estão presentes na tabela mas chegam por interface que
não pertençam a qualquer vlan, não são descartados;
secure - descarta frames com tag se esta não existir na tabela de vlans.
Frames com tag que estão presentes na tabela mas chegam por interface que
não pertençam a qualquer vlan, são descartados.
leave-as-is - frame permanece inalterado ao sair por esta interface;
always-strip - se o frame tiver tag (cabeçalho VLAN), ela é removida;
add-if-missing - se o frame não tiver tag, ela é adicionada.

160
LAB > VLAN no switch
● Para cada dupla, um router (R) será servidor DHCP e o
outro router será apenas switch (S);
● O router deve criar duas VLANs na mesma interface
física (ou ether1 ou ether3);
● Em cada VLAN será instalado um servidor DHCP com
as seguintes redes:
○ dhcp-vlan1 = 172.21.XY.0/24
○ dhcp-vlan2 = 172.22.XY.0/24
● O switch deve receber as duas VLANs e escolher qual
delas será repassada para a ether2, onde está o PC;
● O PC deve pegar IP de acordo com a seleção da VLAN.
161
Perguntas
CONTATOS

Leonardo Rosa
linkedin.com/in/leonardorosa
leonardo@brauser.com.br
brauser.com.br

19 | 3090 3600 | WB