MikroTik Certified Network Associate

_____________________________________________________________________

_____________________________________________________________________

Certified Trainer: João Krieger

_____________________________________________________________________
© MikroTik, www.mikrotik.com. All rights reserved. Reprinted with permission.
MikroTik, NSTREME, RouterOS and RouterBOARD are registred trademarks of company MikroTik SIA.
João Krieger
Treinamentos

https://mikrotik.com/training/about
 Certificação
_________________________________________________________________________

O 1º Exame - Presencial
1. É feito acessando o site da MikroTik
2. Pode consultar a RB, Wiki, PDF e traduzir a página
3. Tem duração de 1 hora
4. Tem 25 perguntas
5. De 60 até 100% = Aprovado (2x 75% Consultor)
6. De 0 até 49% = Reprovado (Refazer MTCNA)
7. De 50 até 59% = Refaz (Segunda chance)
8. De 0 até 59% = Reprovado (Refazer MTCNA)
9. É válido por 3 anos, pois tecnologia muda
10. Exemplo do Exame: https://mikrotik.com/client/testExample *
Nosso Cenário
 Objetivos
_____________________________________________________________

● MikroTik
o Apresentar a Empresa

● RouterOS
o Familiarizar-se com a versão 6 deste software
o Configurar e gerenciar serviços de rede
o Solucionar problemas de redes com e sem fio
o Conectar os clientes/funcionários à Internet
o Entender diversos cenários de redes com práticas

● RouterBOARD
o Apresentar os hardwares e ensinar a escolher

● Certificação
o Preparar para esta competência
 O Treinamento
______________________________________________________________

9 Módulos com Laboratórios

o 1. Introduction
o 2. DHCP
o 3. Bridging
o 4. Routing
o 5. Wireless
o 6. Firewall
o 7. QoS
o 8. Tunnels
o 9. Misc (Tools)
http://www.mikrotik.com/download/pdf/MTCNA_Outline.pdf
 Module 1 - Introduction
______________________________________________________________
1. About MikroTik
1.1. What is RouterOS
1.2. What is RouterBoard
2. First time accessing the router
2.1. WinBox and MAC-WinBox
2.2. WebFig and Quick Set
2.3. Default configuration
3. RouterOS command line interface (CLI)
3.1. Null Modem cable
3.2. SSH and Telnet
3.3. New terminal in WinBox/WebFig
4. RouterOS CLI principles
4.1. <tab>, double <tab>, “?”, navigation
4.2. command history and its benefits
5. Initial configuration (Internet access)
5.1. WAN DHCP-client
5.2. LAN IP address and default gateway
5.3. Basic Firewall - NAT masquerade
6. Upgrading RouterOS
6.1. Package types
6.2. Ways of upgrading
6.3. RouterBOOT firmware upgrade
7. Router identity
8. Manage RouterOS logins
9. Manage RouterOS services
10. Managing configuration backups
10.1. Saving and restoring the backup
10.2. Difference between a backup and an export (.rsc) file
10.3. Editing an export file
11. Resetting a RouterOS device
12. Reinstalling a RouterOS device (Netinstall)
13. RouterOS license levels
14. Sources of additional information
14.1. wiki.mikrotik.com
14.2. forum.mikrotik.com
14.3. mum.mikrotik.com
14.4. Distributor and Consultant support
14.5. support@mikrotik.com
 A MikroTik

● 1996 - Iniciou (Riga, Letônia)

● MikroTik - MT (MK)
● 1997 - RouterOS (Software) - ROS
● 2002 - RouterBOARD (Hardware) - RB
● We create networks
 O RouterOS (ROS)

● É um Sistema Operacional com kernel Linux

para pequenas, médias e grandes empresas
1. Vem instalado em
1. RB (RouterBOARD)
2. CRS (Cloud Router Switch)
3. CCR (Cloud Core Router)
4. Equipamentos Wireless
2. Pode ser instalado em PC (X86) e VM (CHR)

● Sua instalação é fácil e rápida

● Tem interface gráfica, amigável e produtiva

● É compatível com vários Hardwares

https://wiki.mikrotik.com/wiki/Manual:Peripherals
 RouterOS - Funcionalidades

o Roteamento estático e dinâmico (OSPF,BGP,RIP e MPLS)

o Firewall simples e avançado (camada 2, 3, 4 e 7)
o Firewall de IDS (Intrusion Detection System)
o Controlador de conteúdo (Web Proxy)
o Controlador de banda e QoS (Quality of Service) (Queue)
o Wireless de alto desempenho Point-to-MultiPoint e Point-to-Point
o Hotspot
o Load Balancing
o Failover
o Concentrador de VPN e PPPoE
o Sniffer (Analisador de pacotes e conexões)
o Teste de banda
o Outras
 O SwitchOS (SwOS)

● É um Sistema Operacional para gerenciar os

switches CSS (Cloud Smart Switch)
1. Configurável via navegador
2. Gerencia porta-a-porta
3. Tem filtro por MAC
4. Configura VLANs
5. Espelha tráfego
6. Faz controle de banda
7. Tem mais funcionalidades

● Manuais: https://wiki.mikrotik.com/wiki/SwOS
O SwitchOS (SwOS)
 RouterBOARD (1-6)

Ethernet Routers Switches (CRS e CSS) Interfaces

XS+31LC10D

hEX CRS106-1C-5S

RB4011iGS+RM Q+DA0001
CRS326-24G-2S+RM

CCR1072-1G-8S+
CRS125-24G-1S-2HnD-IN R11e-5HnD
 RouterBOARD (2-6)

Wireless for Home Wireless Systems Antennas

and Office

mANT30

mAP lite SXT SA5 LDF 5 ac

hAP ac²

cAP ac

OmniTIK 5 LHG 5
Sleeve30 mANT 19S
 RouterBOARD (3-6)

LTE Products 802.11ad 60GHz

 RouterBOARD (4-6)

RouterBOARD Enclosures Accessories

https://mikrotik.com/products
RouterBOARD (5-6)

Data over Powerlines

RouterBOARD (6-6)

LoRa (Long Range) Products For IoT

https://www.easyiot.com.br/tecnologia-lora/
 Nomenclatura das RouterBOARDs

Série RB400 (Arquitetura MIPSBE)

RB 450 0 ou nenhuma
interface Wireless

5 interfaces (Ethernet, SFP, SFP+)

3 slots Wireless

Série RB400

Modelos
com
3 números
RB 433
3 interfaces Ethernet
Acessos por Hardware

4) Wi-Fi

2) Cabo UTP

2) Cabo Serial

1) Cabo SFP
 Acessos por Software
1) WinBox (por IP e MAC)
http://www.mikrotik.com/download/winbox.exe

2) WebFig (página web via IP)

http://192.168.88.1/webfig/

3) SSH (console texto via IP)

http://www.putty.org/

4) Tik-App (smartphone android via IP)

5) Telnet e MAC-Telnet (console texto via IP e MAC)

C:\windows\system32\telnet.exe

6) Terminal (console texto via porta serial)

HyperTerminal ou Putty
Cabo Serial Null Modem
(115200 bit/s, 8 data bits, 1 stop bit, no parity, flow control=none)
 O WinBox (GUI)
1

2
Padrão !

3
4

Conexão por:
1. MAC
2. IPv4
3. IPv6
 WinBox (1-2)

Session, Settings, Dashboard e Botões

*
WinBox (2-2)

Hide Passwords
(exceto: System > Users)
Renomear a Identidade - MATRIZ

Renomear todas RBs

Renomear as Interfaces
Interface de Linha de Comandos (CLI) (1-3)

1. Acesso via Telnet

CLI = Command Line Interface

Interface de Linha de Comandos (CLI) (2-3)

2. Acesso via Putty

Interface de Linha de Comandos (CLI) (3-3)

3. Acesso via New Terminal

Comandos no Modo Texto (CLI) (1-2)

1
2 Digite ? no raiz (/)

3 Verifique os comandos
e suas funções
 CLI - Resumo
• <tab> - completa o comando
• Duplo <tab> - mostra opções
• ? - help
• Seta para cima - últimos comandos
• Ctrl+C - keyboard interrupt
• Ctrl+C+Enter - copia pra área de tranferência
• Ctrl+D - log out (se a linha estiver vazia)
• Ctrl+K - limpa o cursor até o fim da linha
• Ctrl+V - cola da área de transferência
• Ctrl+L ou F5 - limpa a tela
• Ctrl+´+´ & Ctrl+´-´ - ajusta o foco
• print - mostra as configurações
• export - mostra os comandos
Comandos no Modo Texto (CLI) (2-2)

Vermelho = erro
Rosa = comando
Azul = nível
Verde = opções
Preto = dados
 Safe Mode

Usamos Safe Mode quando vamos alterar

configurações que possam nos deixar sem acesso:
CTRL+X ou Botão = ativam
CTRL+X, Botão ou Reboot = salva e sai
CTRL+D ou perda de acesso = sai sem salvar

Redo = refaz
Undo = desfaz
Safe Mode - Recuperando o Acesso
(Na RB local)
1) Abra New Terminal
2) Digite:
1. Ctrl + X
2. in (Tab) + et (Tab) + Enter
3. (Tab) (observe as opções)
4. pr (Tab) + Enter (observe o # do
registro da ether2)
5. di (Tab) + nu (Tab) + 1 + Enter
Safe Mode - Sequestrando (Hijacking)

Sequestrando o Modo de Segurança de alguém [u / r / d]:

[u] - desfaz todas as alterações do modo de segurança e coloca a

sessão atual no modo de segurança
[r] - mantém todas as alterações do modo de segurança e coloca a
sessão atual em um modo de segurança. O proprietário
anterior do modo de segurança é notificado sobre isso
[d] - sai sem assumir
/system note edit note
Quick Set
WebFig
 Configuração Padrão

Chains
Amplifier

802.11
Switch Chip
wlan1
ether4

ether3
Bridge
DHCP
ether2
Firewall
Routing
ether1
CPU

/system default-configuration print

Interface List
Virtual PC (VPC) - Comandos
 Acesso aos PCs Via Putty

Clique aqui
Acesso aos PCs Via Putty
Acesso aos PCs Via Putty
RoMON - Ativando o Agente
Router Management Overlay Network
(Rede Sobreposta de Gerenciamento de Roteador)

Cria uma rede independente das camadas L2 e L3

/tool romon
set enabled=yes
 Connect To RoMON

172.30.1.1

3
 Pacotes do RouterOS (1-2)

Long-term – a mais estável, sem novos recursos, só correções

Stable – estável, recebe correções e alguns recursos novos
Testing – a mais instável e tem os últimos recursos

https://mikrotik.com/download
Pacotes do RouterOS (2-2)

System > Packages

MAIN

EXTRA

Não é possível adicionar drivers ou qualquer pacote

que não seja desenvolvido pela MikroTik
Extra Packages = all_packages
Atualizando o RouterOS (1-2)

1. System > Packages

Atualizando o RouterOS (2-2)

2. Download

1. Baixar a atualização do site

(Arquitetura da CPU)

www.mikrotik.com/download
2. Arrastar e soltar no WinBox
3. System > Reboot
Gerenciando Pacotes (1-3)
 Gerenciando Pacotes (2-3)

1. Upgrade

1. Em System > Packages

2. Clicar em Check For Upgrades, escolha o

canal Stable e Download&Install

3. System > Reboot é automático

 Gerenciando Pacotes (2-3)

2. Downgrade

1. Faça download e arraste pra RB:

https://mikrotik.com/download/archive

2. Em System > Packages, clique em Downgrade

3. System > Reboot é obrigatório

 Gerenciando Pacotes (3-3)

3. Instalar Pacote Extra

1. Configure: System > SNTP Client

2. Baixe o Extra Packages
3. Arraste o pacote NTP
4. System > Reboot
5. Habilite: System > NTP Client
6. Habilite: System > NTP Server
7. Observe: System > Packages
O SNTP e o NTP Client, atualizam data/hora se a RB perde o horário!
 Pacotes - Funcionalidades

https://wiki.mikrotik.com/wiki/Manual:System/Packages
O Firmware RouterBOOT (1-2)

1) Inicia o RouterOS nas RBs

2) Existem 2 carregadores de boot

1. Main (pode ser atualizado)
2. Backup (botão de reset)

3) Obs: Atualize o Firmware ANTES

(se estiver desatualizado) e
DEPOIS de atualizar o RouterOS.
O Firmware RouterBOOT (2-2)

Atualizar RouterBOOT Main:

System > RouterBOARD: Upgrade

http://wiki.mikrotik.com/wiki/Manual:RouterBOOT
Hora do Sistema e Fuso Horário

System > Clock

1) Vem habilitado por padrão e

depende do IP Público
2) DST = Horário de Verão

https://wiki.mikrotik.com/wiki/Manual:System/Time
 Dynamic DNS
IP > Cloud
1) Verifica a cada 60s, timeout 15s
2) Usa porta UDP 15252
3) Envia pacotes encriptados para
cloud.mikrotik.com (< v6.43) ou
cloud2.mikrotik.com (=> v6.43)

https://wiki.mikrotik.com/wiki/Manual:IP/Cloud
Usuários do RouterOS
System > Users

https://wiki.mikrotik.com/wiki/Manual:Router_AAA
Serviços do RouterOS

IP > Services
 Os 2 Backups Locais
1) export

2) backup

1 (RAM)
2 (HD)

Sem senha não criptografa

Desativa a criptografia e a senha
 Backup e Restore via CLI

Fazer Backup e Export

1. Faça os 2 backups e arraste para a Área de Trabalho
2. Abra os arquivos com o Bloco de Notas e compare
3. Leia e analise as linhas de comando
 Os 2 Backups Locais - Revisão

DESCRIÇÃO BACKUP EXPORT

É editável (script, texto plano) ✓

Permite colocar nome ✓ ✓

Encripta com e sem senha ✓

Salva usuários do RouterOS (System > Users) ✓

Salva usuários PPP e Hotspot ✓ ✓

Salva dados do The Dude e User Manager  

É para ser restaurado no mesmo router ✓

É para ser importado noutro router ✓

Exporta parte da configuração ✓

Pode ser salvo em drive externo ✓ ✓

Extensão do arquivo .backup .rsc
Cloud Backup (1-2)
 Cloud Backup (2-2)

• Desde a versão 6.44

• 1 backup criptografado por RB
• Até 50MB
• URL: cloud2.mikrotik.com
• Portas: UDP e TCP / 15252
 Botão de Reset

1. 3 seg - Carrega o ‘RouterBOOT Backup’

2. 5 seg - Reset para a configuração padrão
3. 10 seg - Habilita o modo CAPs
4. 15 seg - Inicia o modo Netinstall

https://wiki.mikrotik.com/wiki/Manual:Reset_button
https://wiki.mikrotik.com/wiki/Manual:RouterBOARD_settings
System > Reset Configuration

1> 6>
2>
3>
4>
<5

1 > Mantém usuários e senhas do ROS

2 > Volta no modo CAPS
3 > Volta sem configurações
4 > Não salva backup antes do reset
5 > Após, executa um backup exportado *
6 > Volta com a Configuração Padrão
 Netinstall (1-3)

Instala e Reinstala o RouterOS

1. Usa o protocolo bootp (System > Routerboard: Settings)
2. Pode fazer Upgrade ou Downgrade
3. Instala em Driver USB / IDE / SATA (selecionar a
arquitetura correta e a versão desejada)
4. Reinstala sem perder a licença:
a) Em RB / Driver, volta com ‘admin e sem senha’
b) Em RB / Driver, mantendo as configurações
(Keep old configuration), inclusive usuários e senhas

O cabo de rede deve ser conectado na porta Ether1

(exeto CCR e RB1XXX, na última porta)
Atenção: Todos os arquivos são apagados (formata)!
 Netinstall (2-3)

Reinstalando o RouterOS
1) Faça download do pacote Main (Long-term) e o
respectivo Netinstall para a mesma pasta e extraia.
Usar a mesma versão do Netinstall e Pacotes!

2) Configure a placa de rede do PC:

1. Endereço IP: 192.168.1.1
2. Máscara: 255.255.255.0

IMPORTANTE:
Desative o Firewall e Antivírus
Execute como Administrador
Controle de Usuário do Windows (uac)
 Netinstall (3-3)

Mantém a
configuração antiga e
9 reinstala (não reseta)
6

1) No Windows está:
Reinicie a RB
1. End. IP: 192.168.1.1
no modo
2 10 2. Máscara: 255.255.255.0
Netinstall
Conecte na ‘ether1’

3
4

8
Licenças do RouterOS (1-5)

System > License

Licenças do RouterOS (2-5)
Níveis de Licenças
 Licenças do RouterOS (3-5)

Licença recebida por e-mail

1) Copiar e colar em New Terminal, ou

2) Em System > License, clicar em Paste Key
3) Reiniciar para ativar
 Licenças do RouterOS (4-5)

CHR - Cloud Hosted Router

1) São imagens de discos para virtualização

2) São Perpétuas (P)
3) 60 dias para testar (P1, P10 e P-Unlimited)
4) Podem ser transferidas para outra instância
5) Limitam upload (Speed Limit)
Licenças do RouterOS (5-5)
VHDX - Hyper-V
VMDK - VMware
VDI - VirtualBox
OVA - Open Virtual Appliance
 Contactando o Suporte

Antes de contactar support@mikrotik.com, verifique:

1. wiki.mikrotik.com – Documentação sobre o

RouterOS, SwitchOS e RouterBoard
2. forum.mikrotik.com – Tem vários tópicos
3. mum.mikrotik.com – MikroTik User Meeting
4. youtube.com/mikrotik – MUM ao vivo
5. https://blog.mikrotik.com/ -- Segurança
6. Distribuidores e Consultores – Suporte
7. Mais informações na página de suporte
 Contactando o Suporte

Nova documentação e suporte, pensando no RouterOS 7:

1. https://help.mikrotik.com/docs/
2. https://help.mikrotik.com/servicedesk
 Módulo 1 - Introdução

Conteúdo abordado
6. Upgrading RouterOS (driver)
6.1. Package types
1. About MikroTik
6.2. Ways of upgrading
1.1. What is RouterOS
6.3. RouterBOOT firmware upgrade
1.2. What is RouterBoard
7. Router identity
2. First time accessing the router
8. Manage RouterOS logins
2.1. WinBox and MAC-WinBox
9. Manage RouterOS services
2.2. WebFig and Quick Set
10. Managing configuration backups
2.3. Default configuration
10.1. Saving and restoring the backup
3. RouterOS command line interface (CLI)
10.2. Difference between a backup and an export (.rsc) file
3.1. Null Modem cable
10.3. Editing an export file
3.2. SSH and Telnet
11. Resetting a RouterOS device
3.3. New terminal in WinBox/WebFig
12. Reinstalling a RouterOS device (Netinstall)
4. RouterOS CLI principles
13. RouterOS license levels
4.1. <tab>, double <tab>, “?”, navigation
14. Sources of additional information
4.2. command history and its benefits
14.1. wiki.mikrotik.com
5. Initial configuration (Internet access)
14.2. forum.mikrotik.com
5.1. WAN DHCP-client
14.3. mum.mikrotik.com
5.2. LAN IP address and default gateway
14.4. Distributor and consultant support
5.3. Basic Firewall - NAT masquerade
14.5. support@mikrotik.com
 Modelos OSI e TCP/IP

7 APLICAÇÃO APLICAÇÃO
DADOS
6 APRESENTAÇÃO HTTP, HTTPS 5
DNS, DHCP, FTP
5 SESSÃO SSH, TELNET

Porta TCP e UDP

4 TRANSPORTE 4
22, 80, 443
IP
3 REDE 3
172.30.1.1
MAC
2 ENLACE 2
6C:3B:6B:40:0D:53
bits
1 FÍSICA 1
1110101010110111
Endereços IPv4
1) 32 bits
2) 4 octetos (bytes)
3) decimal pontuado
4) 2 partes (N-H)
 Máscara de Rede / Sub-rede

Bits 1 mostram o endereço de rede e bits 0 os endereços de host.

 Endereços de
Rede/Sub-rede, Host e Broadcast

• Exemplo numa Classe C (192.168.0.0/24):

1. Endereço IP de Rede/Sub-rede 192.168.0.0

. É o primeiro IP (sempre par)

2. Endereço de Host ou Unicast 192.168.0.1 a 254

. Vai do segundo ao penúltimo IP

3. Endereço de Broadcast 192.168.0.255

. É o último IP (sempre ímpar)
 Module 2 - DHCP
______________________________________________________________

1. DHCP server and client

1.1. DHCP client
1.2. DHCP server setup
1.3. Leases management
1.4. DHCP server network configuration
2. Address Resolution Protocol (ARP)
2.1. ARP modes
2.2. RouterOS ARP table
 DNS Client e Server (Cache)
Domain Name System
(Sistema de Nomes de Domínio)

IP > DNS

O Client, pode ser configurado:

1. Manualmente (prioritário)
2. Dinamicamente

O Server, é ativado em:

Allow Remote Requests
(Permite Solicitações Remotas)
Pode utilizar Porta e Protocolos:
1. 53 UDP
2. 53 TCP
DNS Server - Entradas Estáticas

IP > DNS: Static

http://router.lan
 DHCP

Dynamic Host Configuration Protocol

(Protocolo de Configuração Dinânica de Host)

1. Distribui IPs automaticamente

2. Trabalham em um Domínio de Broadcast

3. O RouterOS suporta DHCP Client e Server

4. Trabalham no modelo Cliente - Servidor

 Cliente DHCP (1-2)

/ip dhcp-client

Transmite um pacote em Broadcast para

adquirir automaticamente do DHCP Server:
1. Endereço IP (obrigatório)
2. Máscara de Sub-rede (obrigatório)
3. Gateway Padrão
4. Servidor(es) de DNS
5. Outras opções (ex.: Servidor NTP)
Cliente DHCP (2-2)

/ip dhcp-client MATRIZ

 DHCP Server
/ip dhcp-server
• Ao adicionar um DHCP Server na bridge, deve ser configurado
na Interface Bridge (não em uma porta da bridge)
• Cada Interface pode ter seu DHCP Server
• 1° configurar /ip address, e não deve estar em /ip pool FABRICA
Adicionar DHCP Server (1-2)

/ip dhcp-server setup FABRICA

 Adicionar DHCP Server (2-2)
/ip dhcp-server setup FABRICA

1. Bridge, Next
2. Next
3. Alterar, Next
4. O MT, Next
5. Next
6. Next Exemplo de
conexão de 1 dia:
1d 00:00:00
Configurar IP no PC via DHCP
EXPED
Pinga pra 8.8.8.8?
EXPED
Configurar Mascaramento
FABRICA

2
Resolve e Pinga pra uol.com?
EXPED
Ativar DNS Server (Cache)
FABRICA
DHCP Server - Static Leases (1-2)

Concessões Estáticas
MATRIZ

1. Converter de
dinâmica > estática
(o D é removido)
 DHCP Server - Static Leases (2-2)

Desativar Pool Dinâmico

2. Troque o IP concedido ao FABRICA, para final 88.5
3. Renove o endereço IP do FABRICA. Pega o novo IP?
4. No DHCP Server: setar Address Pool para static-only

MATRIZ MATRIZ
2

FABRICA
3
 O ARP e a Tabela ARP

Address Resolution Protocol

(Protocolo de Resolução de Endereço)

IP > ARP
1) O ARP une os endereços:
1. IP (Layer3, lógico)
2. MAC (Layer2, físico)
2) A Tabela ‘ARP List’:
Contém: IP, MAC e Interface
É um cache para reduzir a latência
3) Ações do ARP:
1. Aprender (dinamicamente ou estaticamente)
2. Responder (enable, reply-only, proxy-arp e
local-proxy-arp)
 O ARP (Broadcast)

Protocolo de resolução
de qual endereço?

No PC 192.168.0.1:
> ping 192.168.0.3

CAMADA PC ORIGEM PC DESTINO

3 (IP) 192.168.0.1 192.168.0.3

2 (MAC) 00:D0:1A:3E:02:56 ? = FF:FF:FF:FF:FF:FF

Descobre o MAC de Destino, através do seu IP.

 O ARP (enable)

BROADCAST UNICAST
Quem tem IP Eu tenho e meu MAC
192.168.0.3? é 00:E0:FE:C2:09:11
 ARP Estático
IP > ARP
1
Static ARP

Aumenta a segurança:
1) Adicionando manualmente
entradas ARP em 1 e 2
2) E a interface deve ser 2
configurada para reply-only
 ARP Estático (reply-only)

Interface > Interface: Bridge, General: ARP

Static ARP

A Interface em
replay-only, irá
responder apenas
as entradas ARP
conhecidas
MATRIZ
 DHCP (static-only)
MATRIZ
IP > DHCP Server: DHCP
O DHCP Server pode adicionar entradas
na tabela ARP automaticamente, com:
1) Address Pool em static-only (1) 1

2) Add ARP For Lease habilitando (2)

IP > ARP
MATRIZ

2
DHCP (static-only) + ARP (reply-only)

Passo a Passo

1. Configurar uma concessão estática (Leases)

para os PCs

2. Configurar a interface bridge para reply-only

3. Configurar o DHCP Server para static-only e

habilite Add ARP For Leases

4. Renovar o endereço IP nos PCs

Módulo 2 - DHCP

Conteúdo abordado

1. DHCP server and client

1.1. DHCP client
1.2. DHCP server setup
1.3. Leases management
1.4. DHCP server network configuration
2. Address Resolution Protocol (ARP)
2.1. ARP modes
2.2. RouterOS ARP table
 Module 3 - Bridging
______________________________________________________________

1. Bridging overview
1.1. Bridge concepts and settings
1.2. Creating bridges
1.3. Adding ports to bridges
2. Bridge wireless networks
2.1. Station bridge
HUB - OSI Camada 1, Física

1. São dispositivos transparentes

2. 1 Domínio de Colisão
Bridge - OSI Camada 2, Enlace (1-2)

1. Divide Domínios de Colisão

2. São implementadas por software
3. São dispositivos transparentes
4. O switch é uma bridge multi-porta

1
Bridge - OSI Camada 2, Enlace (2-2)
5. Junta segmentos de rede

6. Adicionamos interfaces: Ethernet, VLAN,

Wireless, SFP e Túneis

7. O controle de acesso aos meios, nos

segmentos ethernet:
1. Com fio, usa o protocolo CSMA/CD
2. Sem fio, usa o protocolo CSMA/CA

/interface bridge
 Switch - OSI Camada 2

1. É um dispositivo de Hardware,
ativado em Hardware Offload
2. Dados trafegam na velocidade
das portas (wire speed)
3. O uso do Switch Chip não
aumenta o uso da CPU

/interface bridge port

 Laboratórios de Bridging
FILIAL

1. Em /interface bridge adicionar a bridge1

2. Em /interface bridge port adicionar as
interfaces ether2 e ether3
3. Em /ip address adicionar 192.168.20.1/24 na
interface bridge1
4. Adicionar /ip dhcp-server setup na interface
bridge1
5. Configurar NAT
6. Configurar DNS Client e habilitar DNS Server
7. Pegar IP e testar a Internet no RECEP
 Bridge e Wireless

1) Devido à limitações do padrão 802.11, clientes

wireless no modo station, só suportam Routing

2) O RouterOS supera esta limitação com:

1. Station Bridge – RouterOS <-> RouterOS
2. Station Pseudobridge – RouterOS <-> Outros
3. Station WDS – RouterOS <-> RouterOS

(WDS - Wireless Distribution System)

(conexões entre APs, rede Mesh)
 Bridge e Wireless
Limitações do Padrão 802.11

station (roteada)
ou
Wi-Fi ap bridge
station bridge wlan1

bridge1
Controle de Banda e Firewall na Bridge

1. O tráfego que passa de uma porta para outra na

Bridge, pode ser processado pelo Firewall na CPU,
nas chains: prerouting, forward, postrouting
2. Assim podemos criar regras para usar, por exemplo,
em Queues
3. Habilitamos via Terminal em:
/interface bridge settings set use-ip-firewall=yes
4. E via Winbox:
Módulo 3 - Bridging

Conteúdo abordado

1. Bridging overview
1.1. Bridge concepts and settings
1.2. Creating bridges
1.3. Adding ports to bridges
2. Bridge wireless networks
2.1. Station bridge
 Module 4 - Routing
______________________________________________________________

1. Routing overview
1.1. Routing concepts
1.2. Route flags
2. Static routing
2.1. Creating routes
2.2. Setting default route
2.3. Managing dynamic routes
2.4. Implementing static routing
in a simple network
 Roteamento

É o melhor caminho (o mais específico) para o pacote.

IP > Routes

Aonde quero chegar?

Qual o próximo salto?

Dst. Address:
1) Endereço de Host
2) Endereço de Rede Gateway:
3) 0.0.0.0/0 (todos IPs)

> ip route print > ip route export

 Roteamento
Rota mais Específica
• Se existem duas ou mais rotas apontando para o mesmo
destino, a mais precisa será usada, ou seja:
. Com o número da Máscara de Rede maior
. Com o número de Hosts menor

• Exemplo:
. Dst. Address: 192.168.88.0/24, Gateway: 172.30.1.5
. Dst. Address: 192.168.88.0/25, Gateway: 172.30.1.6
. Dst. Address: 192.168.88.128/25, Gateway: 172.30.1.7
. Se o pacote for enviado para o IP 192.168.88.135,
qual gateway será usado?
 Roteamento
Distância

Se existem duas ou mais rotas iguais, a

que tiver a menor distância será a rota ativa
 Roteamento

Rotas Dinâmicas (1-2)

1) Rotas com etiquetas (flags) DAC:
1. São adicionadas automaticamente quando
adicionamos um endereço IP
2. Não podemos excluir e nem alterar

2) Rotas com etiquetas (flags) DAS:

1. São adicionadas quando, por exemplo, o Default
Gateway é selecionado via DHCP Cliente
(Add Default Route = yes)
2. Podemos excluir por ser estática (flag S)
 Roteamento
Rotas Dinâmicas (2-2)

A - active
C - connected
D - dynamic
S - static
 Roteamento

Gateway Padrão

1. Default Gateway é o roteador para onde todo o

tráfego que não tem um destino específico definido
será enviado

2. É o próximo salto (next hop)

3. O Dst. Address: 0.0.0.0/0 é a Default Route

/ip route add gateway=192.168.10.1

4. Só existe uma Rota Padrão ativa

 Roteamento

Gateway Padrão

1. Nas configurações do IP > DHCP Client:

. Desabilite Add Default Route

2. Adicione manualmente em IP > Routes:

. Default Gateway
 Roteamento

Check Gateway

1. O Check Gateway envia a cada 10 segundos um Ping

(ICMP echo request) ou uma solicitação ARP (Request)

2. Depois de 2 (duas) checagens o Gateway é considerado

inalcançável (unreachable)

3. Se temos o Check Gateway habilitado numa rota, todas as

rotas que usam o mesmo Gateway, serão submetidas ao
mesmo comportamento
 Roteamento Estático (1-2)

Pingar entre MATRIZ e FILIAL

Pingar
para o
ADM
Pingar
para o
RECEP
 Roteamento Estático (2-2)

Pingue entre MATRIZ e FILIAL

1) Anote:
1. O IPs das interfaces WAN (203.0.113.ABC)
2. O IPs das Sub-redes das LANs (192.168.XY.0/24)
3. O IPs dos PCs, ADM e RECEP (192.168.XY.?/24)

2) Desabilite os Firewalls e os Mascaramentos

3) Adicione uma rota para aonde quer chegar, a rede
interna da MATRIZ ou da FILIAL, em IP > Routes:
1. Dst. Address = 192.168.XY.0/24
2. Gateway = 203.0.113.ABC

4) Pinga entre os PCs ADM e RECEP?

5) Desfaça as configurações
Módulo 4 - Routing

Conteúdo abordado
1. Routing overview
1.1. Routing concepts
1.2. Route flags
2. Static routing
2.1. Creating routes
2.2. Setting default route
2.3. Managing dynamic routes
2.4. Implementing static routing
in a simple network
 Module 5 - Wireless
______________________________________________________________

1. 802.11a/b/g/n/ac Concepts
1.1. Frequencies (bands, channels), data-rates,
chains (tx power, rx sensitivity, country regulations)
2. Setup a simple wireless link
2.1. Access Point configuration
2.2. Station configuration
3. Wireless Security and Encryption
3.1. Access List
3.2. Connect List
3.3. Default Authenticate
3.4. Default Forward
3.5. WPA-PSK, WPA2-PSK
3.6. WPS accept
4. Monitoring Tools
4.1. Snooper
4.2. Registration table
 Padrões IEEE
Configurações Físicas e Data Rates

(*) Depende do modelo da RouterBOARD

 Canais 2.4GHz (b/g/n)

✓ 13 canais de 22MHz (na maioria dos países)

✓ 3 canais não se sobrepõem (overlapping) (1, 6 e 11)

✓ Largura de banda (Channel width) máxima:

1. 802.11b = 20MHz (2MHz Gard Band)
2. 802.11g = 20MHz
3. 802.11n = 20/40MHz (Bonding)
Largura dos Canais 5GHz (a/n/ac)
Largura dos Canais 5 GHz (a/n/ac)

• 12 canais de 20MHz
• 5 canais de 40MHz
 802.11ad 60GHz - WiGig

✓ Fornece velocidades Gigabit Ethernet

✓ Estende facilmente a rede Gigabit com
cabo, através de um link transparente,
com criptografia AES
✓ É projetado para PtMP mas também
pode PtP ou como dispositivo de estação
 Enlaces

Point to Point (PtP)

bridge, ou
station bridge
ap bridge

Point to Multi-Point (PtMP)

 Segurança
Wireless > Security Profiles

Usa servidor de
Autenticação
RADIUS
 Modos de Operação
Wireless > Interfaces: wlan1

1. ap bridge: Modo AP (Access Point, Ponto de Acesso)

a) Repassa os MACsentre as redes wireless e cabeada
b) Aceita até 2007 clientes (Stations) associados
2. bridge: O mesmo que o modo “ap bridge”
a) Mas aceita somente 1(um) cliente
b) Usado para PtP
3. station: Modo cliente de um AP
a) Não funciona em bridge com outras interfaces
4. station bridge: Faz bridge transparente
a) Só se conecta à um AP MikroTik
Access Point (AP)

Configurando Mode
já funciona
 Nome do Rádio

RouterOS < - > RouterOS

Wireless > Registration (Stations e APs)

Default Authenticate e Forward

Autenticação Padrão (1)

1. Primeiro pesquisa na
Access List / Connect List
2. Permite se habilitado

Encaminhamento Padrão (2)

1. Primeiro pesquisa na
Access List
2. Permite ou proibe a
comunicação entre estações
1
2
 Tx Power
Ajuste da Potência do Cartão Wireless
 Current Tx Power
Dobra Potência (+5dBm) em n com 3 Chains
Regulamentação nos Países

regulatory-domain

✓ Ajusta para as frequências permitidas

✓ Ajusta para as potências permitidas

Station
 Rx Sensitivity

Sensibilidade de Recepção

✓ É o menor nível de energia no qual a

interface pode detectar um sinal

✓ Significa uma melhor detecção de sinal

Registro de Conexões (Station/AP)
Wireless > Registration

ap bridge
station
 Lista de Acessos
Wireless > Access List

No ‘AP’, controlo qual MAC pode ou não conectar

*
 Lista de Conexões

Wireless > Connect List

No ‘Station’, configuro em qual ‘AP’ vou acessar

 WPS - Wi-Fi Protect Setup

AP e Station

Espera 2 minutos
 Snooper
Obtenho uma visão completa das
redes (SSID) e suas estações
Módulo 5 - Wireless

Conteúdo abordado
1. 802.11a/b/g/n/ac Concepts
1.1. Frequencies (bands, channels), data-rates,
chains (tx power, rx sensitivity, country regulations)
2. Setup a simple wireless link
2.1. Access Point configuration
2.2. Station configuration
3. Wireless Security and Encryption
3.1. Access List
3.2. Connect List
3.3. Default Authenticate
3.4. Default Forward
3.5. WPA-PSK, WPA2-PSK
3.6. WPS accept
4. Monitoring Tools
4.1. Snooper
4.2. Registration table
 Module 6 - Firewall
______________________________________________________________

1. Firewall principles
1.1. Connection tracking and states
1.2. Structure, chains and actions
2. Firewall Filter in action
2.1. Filter actions
2.2. Protecting your router (input)
2.3. Protection your customers (forward)
3. Basic Address-List
4. Source NAT
4.1. Masquerade and src-nat action
5. Destination NAT
5.1. dst-nat and redirect action
6. FastTrack
 Firewall

✓ É um filtro de pacotes que protege uma rede de outra

✓ São regras sequenciais até uma coincidência (match)

✓ São gerenciadas nas tabelas Filter, NAT e Raw

✓ É ordenada em Chains pré-definidas ou criadas

✓ Por padrão é Accept

Camada 3, Rede - Cabeçalho IPv4
PACOTE
Processamento das Regras (1-2)

São expressões condicionais

“SE <condição>” “ENTÃO <ação>”

Processamento das Regras (2-2)

SE a regra combinou, ENTÃO execute a

AÇÃO e ignore as regras abaixo (há exceções)
 Tipos de Tráfegos

/ip firewall filter add chain=

FORWARD

INPUT OUTPUT

OUTPUT INPUT

FORWARD

FORWARD – Pacote vem de fora e passa ATRAVÉS DO ROUTER

INPUT – Pacote vem de fora e vai PARA O ROUTER
OUTPUT – Pacote é ORIGINADO NO ROUTER
 Filter - Fluxo dos Pacotes

Fluxo de Pacotes ROS v6

INPUT ROUTING OUTPUT

DECISION
FORWARD
INTERFACE INTERFACE

INPUT OUTPUT

LOCAL
ROUTING
PROCESS DECISION
IN | OUT
 Filter - Actions

Cada regra tem uma Ação (o que fazer se um

pacote coincidir com a regra?)

Ip > Firewall: (+), New Firewall Rule: Action

 Filter - Chain: Input

1. Protege o Router da Internet ou

da(s) rede(s) interna(s)
2. Controlam os pacotes que vão para
o router

INPUT INPUT
 Filter - Chain: Input (1-5) RB Local

1) Desabilite as regras padrões em:

IP > Firewall: Filter Rules
2) Adicione em IP > Firewall: Filter Rules (+):
1. Chain: input
2. Src. Address: 192.168.XY.100 (seu PC)
3. In. Interface: bridge
4. Action: accept
 Filter - Chain: Input (2-5) RB Local

3) Adicione em IP > Firewall: Filter Rules (+):

1. Chain: input
2. In. Interface: bridge
3. Action: drop
 Filter - Chain: Input (3-5) RB Local

4) Troque o IP do seu PC:

1. Endereço IP: 192.168.XY.222 (exemplo)
2. Mácara de Sub-rede: 255.255.255.0
3. Gateway Padrão: 192.168.XY.1
4. Servidor de DNS preferencial: 192.168.XY.1
(não adicione “Servidor DNS alternativo”!)

5) Tente conectar pelo navegador digitando o IP

192.168.XY.1. É possível abrir o WebFig?

6) Tente conectar à Internet. É possível?

7) As páginas Web abrem? Porque?

 Filter - Chain: Input (4-5) RB Local

8) Resposta: Porque seu PC está usando o router para resolver nome de

domínio (DNS)

9) Conecte no router usando MAC WinBox

10) Adicione em IP > Firewall: Filter Rules (+) e coloque acima do drop (2)
1. Chain: input
2. Protocol: udp
3. Dst. Port: 53
4. In. Interface: bridge
5. Action: accept
 Filter - Chain: Input (5-5) RB Local

11) Tente conectar à Internet (É possível?)

12) Volte a configuração do IPv4 do seu PC

13) Conecte-se no router

14) Mantenha desabilitadas as regras default, e

desabilite ou remova as regras adicionadas
 Filter - Chain: Forward
1) Contém regras que controlam os pacotes que
passam pelo router

2) A cadeia Forward controla o tráfego entre:

1. Clientes e a Internet
2. Os próprios Clientes

3) Por padrão é permitido:

1. O tráfego entre os Clientes do router
2. O tráfego entre Clientes e a Internet

FORWARD

FORWARD
Filter - Chain: Forward (1-2) RB Local

1) Adicione em
IP > Firewall: Filter Rules (+)
Chain: forward
1. Protocol: tcp
2. Dst. Port: 80
3. Action: drop
 Filter - Chain: Forward (2-2) RB Local

2) Tente abrir no navegador:

1. pudim.com.br É possível? Porque?
2. facebook.com.br É possível? Porque?
(observe os contadores em Filter)

3) Tente abrir o WebFig (http://192.168.XY.1).

É possível? Porque?

4) Desfaça as configurações, mantendo

desabilitadas as regras padrões.
 Criar Regras e Testar

FILIAL MATRIZ

a. Pingue: b. Bloqueie e permita,

na chain Forward:
1) PC > 8.8.8.8 V
2) PC > 8.8.4.4 X 1) PC > HTTPS X
3) RB > 8.8.8.8 X 2) Ping X menos para 8.8.8.8
4) RB > 8.8.4.4 V

MATRIZ FABRICA

c. Bloquear o ping do PC VENDAS

para o PC EXPED
 Address List (1-2)
IP > Firewall > Address List

IPs podem ser adicionados: A lista pode conter:

1. Automaticamente 1. Um (1) endereço IP
2. Permanentemente 2. Intervalos de IPs
3. Por um período de 3. Sub-rede inteira
tempo 4. URL
 Address List (2-2)
IP > Firewall > Filter Rules: (+) Advanced

IP > Firewall > Filter Rules: (+) Action

 Firewall Log

IP > Firewall > Filter Rules: (editar uma regra) > Action
NAT - Network Address Translation

Tradução de Endereço de Rede

1) NAT é um método que modifica o cabeçalho

(header) do pacote, o Endereço IP / Porta de:
1. Origem (Source = Src.)
2. Destino (Destination = Dst.)

2) Há 2 tipos de NAT:
1. Source NAT
2. Destination NAT
 src-nat e dst-nat

1) src-nat
O Source NAT é normalmente usado para prover
acesso para uma rede externa (ex.: Servidor Web)
a partir de uma rede interna que usa IPs privados

2) dst-nat
O Destination NAT é normalmente usado para
prover acesso de uma rede externa para um
recurso (ex.: Servidor Web) em uma rede interna,
que usa IP privado
 Fluxo de Pacotes - NAT

ROUTING
DECISION
FORWARD
PRE- POST-
ROUTING ROUTING

DST-NAT SRC-NAT
INPUT OUTPUT

LOCAL ROUTING
PROCESS DECISION

INPUT OUTPUT
INTERFACE INTERFACE

Fluxo de Pacotes ROS v6

 /ip firewall nat add chain=srcnat

Src: 192.168.1.2 Src: 200.1.1.1

Dst: 8.8.8.8 Dst: 8.8.8.8

192.168.1.2/24 200.1.1.1 8.8.8.8

A ação src-nat reescreve o IP de origem e/ou porta

 Masquerade

Mascaramento é um tipo especial de src-nat

 Mascaramento em Redes IP

IPs Privados e Públicos

O Mascaramento é usado para acessar Redes Públicas,

onde Endereços IP de Redes Privadas estão presentes.

Faixas de Endereços IP de Redes Privadas Endereços IP de Redes Públicas

1 Classe A - 10.0.0.0_10.255.255.255/8
16 Classes B - 172.16.0.0_172.31.255.255/12
256 Classes C - 192.168.0.0_192.168.255.255/16
1/4 Classe A – 100.64.0.0_100.127.255.255/10
1 Classe B - 169.254.0.0_169.254.255.255/16
Classe A - 1.0.0.0_127.255.255.255/8
Classe B - 128.0.0.0_191.255.255.255/16
Classe C - 192.0.0.0_223.255.255.255/24
(menos os endereços privados ao lado)
 /ip firewall nat add chain=dstnat

Src: 177.1.1.1:5781 Src: 177.1.1.1:5781

Dst: 192.168.1.2:80 Dst: 200.1.1.1:80

192.168.1.1/24

192.168.1.2:80 177.1.1.1:5781
200.1.1.1:80

A ação dst-nat reescreve o IP de destino e/ou porta

 dst-nat (2-2)

IP > Firewall > NAT: (+) New NAT Rule

192.168.1.2
 Redirect

• É um dst-nat que redireciona pacotes

para o próprio router
• Cria proxy transparente dos serviços
1. DNS
2. HTTP
 Redirect DNS

Crie 2 regras dstnat: redirect para enviar todas

requisições DNS (UDP e TCP) o mesmo router *

MATRIZ
 Service Ports (NAT Helpers)

Para funcionarem corretamente, alguns protocolos

exigem chamadas auxiliares para atravessar o NAT

IP > Firewall: Service Ports

 Connections States (1-2)

1. New (Nova) - pacote que abre uma nova conexão

2. Established (Estabelecida) - pacote que pertence

há uma conexão conhecida

3. Related (Relacionada) - pacote que abre uma

nova conexão, mas já tem uma relação com uma
conexão conhecida

4. Invalid (Inválida) - pacote que não pertence a

nenhuma das conexões conhecidas
Connections States (2-2)

Invalid Established *

New Related
 Connection Tracking (1-2)

✓ Gerencia informações sobre todas as

conexões ativas

✓ Tem que ser habilitado para a tabela

NAT funcionar
Connection Tracking (2-2)

IP > Firewall: Connections

 FastTrack (1-2)

✓ É um método para acelerar o fluxo de pacotes

através do roteador

✓ Marca conexão estabelecida ou relacionada

✓ São ignorados:
✓ Simple Queue

✓ Suporta TCP, UDP e NAT

Mais informações na FastTrack Wiki Page

FastTrack (2-2)
 Filter - Actions

O que fazer se um pacote coincidir com

a regra?

Ip > Firewall: (+), New Firewall Rule: Action

Portas Usadas Frequentemente

https://wiki.mikrotik.com/wiki/Manual:IP/Services
Sequencial
Firewall Padrão

Descoberta de Gerência por MAC

vizinhos /tool mac-server
/ip neighbor MAC Server
MNDP (CDP)
Módulo 6 - Firewall

Conteúdo abordado
1. Firewall principles
1.1. Connection tracking and states
1.2. Structure, chains and actions
2. Firewall Filter in action
2.1. Filter actions
2.2. Protecting your router (input)
2.3. Protection your customers (forward)
3. Basic Address-List
4. Source NAT
4.1. Masquerade and src-nat action
5. Destination NAT
5.1. dst-nat and redirect action
6. FastTrack
 Module 7 - QoS
______________________________________________________________

1. Simple Queue
1.1. Target
1.2. Destinations
1.3. Max-limit and limit-at
1.4. Bursting
2. One Simple queue for the whole network (PCQ)
2.1. pcq-rate configuration
2.2. pcq-limit configuration
 QoS (Quality of Service)

✓ É o desempenho global de uma rede,

visto pelos utilizadores da rede

✓ Métodos de controlar o tráfego

1. Limitar a velocidade (shaping)
2. Garantir
3. Priorizar
Limitando a Velocidade (Speed Limiting)

✓ O controle direto sobre o tráfego

na entrada não é possível

✓ O protocolo TCP irá adaptar-se à

velocidade de conexão

✓ O protocolo UDP será descartado

 Simple Queue

✓ Fila Simples limita facilmente a velocidade

dos clientes, quando faz

1. Download (↓)
2. Upload (↑)
3. Total (Up + Down) (↓ + ↑)

✓ Controla a banda em túneis PPP (PPPoE,

PPTP, ...) Hotspot e DHCP
 Simple Queue
Queues > Simple Queues: General (+)
Total = Upload + Download = Agregado

IP, Rede ou Interface - Cliente

IP, Rede ou Interface - Servidor

! - Para as Simples Queues funcionarem,

desabilite Firewall FastTrack
 Simple Queue - Lab

Crie limite de velocidade para o seu PC

1. Target: IP do PC
2. Max Limit:
a) Target Upload = 512k
b) Target Download = 1M
3. Faça download da Imagem_ISO do
endereço http://192.168.255.X
4. Observe o tráfego, na aba Traffic da Queue
 Tools > Torch
Monitoramento de tráfego em tempo real
Podemos abrir direto nas Interfaces

( Ex.: IP Note/PC )

Aqui observamos o tráfego

Guaranteed Bandwidth (1-3)

1. A garantia de largura de banda é para

certificar de que o cliente sempre terá uma
banda mínima

2. O restante do tráfego será dividido entre

os clientes com base em primeiro a
chegar, primeiro a sair

3. É controlada usando o parâmetro Limit At,

na aba Advanced
Guaranteed Bandwidth (2-3)

Limit At (CIR): Garantia de

1Mbps UP e Down
 Guaranteed Bandwidth (3-3)

Largura de banda total: 10Mbps

1. Garantido p/ Cliente1: 1Mbps
2. Garantido p/ Cliente2: 4Mbps
3. Garantido p/ Cliente3: 2Mbps
4. Todos Clientes dividem: 3Mbps

Priority
1 = Maior
8 = Menor
Tráfego utilizado
Verde = 0 - 50%
Amarelo = 51 - 75%
Vermelho = 76 - 100% garantido em uso
 Burst (Rajada)

1. Permitir taxas de
dados mais elevadas
do que o Max Limit,
durante um curto
período de tempo

2. Útil para o tráfego

HTTP, páginas web
carregam mais rápido
Max Limit (MIR): taxa limite
3. A cada 1/16 do Burst Burst Limit: taxa máxima na rajada
Time é feito o cálculo Burst Threshold: limiar da rajada
da média Burst Time: tempo pro cálculo da
média em (seg)
Como funciona o Burst

É dado ao cliente:
. Max Limit = 2 Mbps
. Burst Limit = 4 Mbps
. Burst Threshold = 1500 kbps
. Burst Time = 16 seg
. Limit-At = 1 Mbps
 PCQ - Per Connection Queue (1-3)
Otimiza equalizando a banda em
grandes implementações

Endereço IP de origem/destino Divide o tráfego por Substitui várias filas

Porta de origem/destino sub-fluxos (sub-stream) (queues) por uma

FIFO = First In, First Out

PCQ – Per Connection Queue (2-3)
INSTRUTOR

Rate: taxa máxima disponível para cada sub-fluxo

(bps), o valor 0 (zero) equaliza
Queue Size: tamanho da fila de cada sub-fluxo (KiB)
Total Queue Size: tamanho máximo de dados em
fila de espera de todos os sub-fluxos (KiB)
PCQ – Per Connection Queue (3-3)

Limita a banda

Compartilha a banda
 Módulo 7 - QoS

Conteúdo abordado

1. Simple Queue
1.1. Target
1.2. Destinations
1.3. Max-limit and limit-at
1.4. Bursting
2. One Simple queue for the whole network (PCQ)
2.1. pcq-rate configuration
2.2. pcq-limit configuration
 Module 8 - Tunnels
______________________________________________________________

1. PPP settings
1.1. PPP profile
1.2. PPP secret
1.3. PPP status
2. IP pool
2.1. Creating pool
2.2. Managing ranges
2.3. Assigning to a service
3. Secure local network
3.1. PPPoE service-name
3.2. PPPoE client
3.3. PPPoE server
4. Point-to-point addresses
5. Secure remote networks communication
5.1. PPTP client and PPTP server (Quick Set)
5.2. SSTP client
 Tunelamentos e VPNs

O RouterOS suporta tanto Servidor quanto Cliente:

1. PPP (Point-to-Point Protocol)

2. PPPoE (Point-to-Point Protocol over Ethernet)
3. PPTP (Point-to-Point Tunneling Protocol)
4. L2TP (Layer 2 Tunneling Protocol)
5. SSTP (Security Socket Tunneling Protocol)
6. OVPN (Open Virtual Private Network)
7. IPsec (IP Security)
8. IPIP (Tunnelling IP over IP)
9. EoIP (Tunnelling Ethernet over IP)
10. GRE (Tunnelling Generic Routing Encapsulation)
11. TE (Tunnelling Traffic Engineering)
12. VPLS (Tunnelling Virtual Private LAN Service)
Túnel = é uma Interface Virtual
VPN = é um Túnel que implementa segurança
Point-to-Point Protocol (PPP)

1) O Protocolo Ponto-a-Ponto é usado para

estabelecer um túnel (conexão direta) entre
dois pontos

2) Uma conexão PPP prove confidencialidade e

privacidade com:
1. Autenticação
2. Encriptação
3. Compressão
 IP > Pool
Intervalo de Endereços IP

Usado para emprestar automaticamente

à Clientes:
1. DHCP
2. PPP
3. Hotspot
 PPP > Profile
Perfil para Servidor e/ou Cliente

Session Timeout: Tempo máximo que o

cliente pode ficar conectado
Idle Timeout: Se ficar sem tráfego por X
tempo ira derrubar o cliente
Only One: Define se pode ter uma ou
mais sessões PPP (default=no)
 PPP > Secret
Banco de usuários/clientes locais

Substituem as
configurações
Autenticação:
do PPP Profile
L = Local
Caller ID = MAC
Client Radius

Autenticação:
R = Radius
 PPP > Interface

Conexão:
D = Dynamic
R = Running
 PPP > Active Connections

Autenticação:
L = Local
R = Radius
 PPPoE (PPP over Ethernet)

✓ O Protocolo Ponto-a-Ponto sobre Ethernet (layer 2), é usado para

controlar o acesso para uma rede (normalmente à Internet)

✓ É usado para distribuir endereços IP, como do DHCP Server, e

também não pode ser configurado numa Interface da Bridge

✓ Por questões de segurança você não deve usar um endereço IP na

mesma interface do PPPoE server

✓ Usado com Servidor Radius e/ou com o banco de usuários local

(PPP > Secret)

✓ O RouterOS suporta:
1. PPPoE Client
2. PPPoE Server (AC - Access Concentrator)
PPPoE - Etapas e Sessão
 PPPoE - Etapas e Sessão
1. Inicialização (PADI - PPPoE Active Discovery Initialization) – O Cliente envia um pacote PADI
para o endereço ethernet de broadcast FF:FF:FF:FF:FF e pode conter o campo “service-name”

2. Oferta (PADO - PPPoE Active Discovery Offer) – O Controlador de Acessos responde com um
pacote PADO com uma proposta de descoberta da autenticação, em unicast. Se veio com o campo
“service-name”, volta com ele

3. Pedido (PADR - PPPoE Active Discovery Request) – O Cliente responde em unicast, com um
pacote PADR, enviando uma solicitação de descoberta de atividade

4. Confirmação (PADS - PPPoE Active Discovery Session) – O Controlador de Acessos gera uma
identificação única (ID) para a sessão PPP e envia um pacote PADS em unicast

5. Sessão – Quando o estágio de descoberta é concluído, os dois pares conhecem o ID de sessão

PPPoE e o endereço Ethernet (MAC) de outro par, que juntos definem a sessão PPPoE. Os
quadros PPP são encapsulados em quadros de sessão PPPoE, que possuem tipo de quadro
Ethernet 0x8864. Quando o servidor envia a confirmação e o cliente a recebe, os estágios da
Sessão PPP é iniciado e consiste nas seguintes etapas:
1. Negociação LCP
2. Autenticação
3. Negociação IPCP - onde o cliente recebe um endereço IP

6. Término (PADT - PPPoE Active Discovery Terminate) – Tanto o Controlador de Acessos quanto o
Cliente podem enviar um pacote PADT para finalizar, em qualquer momento
 PPPoE (PPP over Ethernet)

• Max MTU (Maximum Transmission Unit) e Max MRU

(Maximum Reception Unit): 1492 (1500 da Interface
menos 8 bytes do PPPoE)

• MRRU (Maximum Receive Reconstructed Unit): tamanho

máximo do pacote que pode ser recebido, com Multi-Link

• Keepalive Timeout: checa se o cliente está respondendo

• One Session Per Host: não permite MAC duplicado

• Max Sessions: número máximo de clientes

• PADO Delay: tempo para responder ao cliente

• Authentication PAP: passa usuário e senha com texto

plano, não usar
Configurar PPPoE Server

1. Adicionar um Pool

2. Ajustar ou criar um novo Perfil

3. Adicionar Usuários

4. Adicionar o Servidor PPPoE

 PPPoE Server - Config (1-2)
MATRIZ
1. IP > Pool: (+)
a. Name: pool_pppoe
b. Addresses: 100.64.0.2-100.64.0.254
c. Next Pool: none

2. PPP > Profiles: (+)

a. Name: profile1_PPPoE
b. Local Address: 100.64.0.1 (gw)
c. Remote Address: pool_pppoe
d. DNS Server: 100.64.0.1

3. PPP > Secrets: (+)

a. Name: usuario
b. Password: usuario
c. Service: pppoe
d. Profile: profile1_PPPoE
 PPPoE Server - Config (2-2)
MATRIZ

PPP > PPPoE Servers: (+)

1. Service Name: service_pppoe1
2. Interface: ether2_LAN_RB_FABRICA
3. Max MTU: 1492
4. Max MRU: 1492
5. Default Profile: profile_PPPoE
6. Authentication: “mschap2, mschap1, chap”

 Por questões de segurança

endereço IP não deve ser usado
na interface do PPPoE Server
 PPPoE Client

PPP > Interface: (+) PPPoE Client

✓ Se houver mais de um servidor PPPoE em um

domínio de broadcast, deve ser especificado
também o Service (nome do servidor PPPoE)

✓ Caso contrário, o cliente tentará se conectar ao

que responde primeiro

✓ É obrigatório definir à Interface do segmento de

rede que está o PPPoE Server
 PPPoE Client - Config (1-2)
Conecte ao PPPoE Server e navege
1. Desabilite o DHCP Client da (ether1_RB_MATRIZ)
FABRICA
2. Configure na Interface ether1_RB_MATRIZ (6)
User: usuario (8)
Password: usuario (9) 7
E as outras opções

8
1 9
2 4

10
11
5

12

3
 PPPoE Client (2-2)
Conecte ao PPPoE Server e navege

3. Verifique o status do Cliente PPPoE

(Active Connections) e em Interface

4. Verifique a conexão com a Internet, o

VPC EXPED pinga para um site externo?

5. Por qual Interface vai sair pra Internet?

Tem que ajustar o quê?

6. Depois:
1. Desabilite o PPPoE Client
2. Habilite o DHCP Client e restaure
as configurações anteriores
 Point-to-Point Addresses
Quando é estabelecida uma conexão PPP, endereços
Ponto-à-Ponto /32 são atribuídos dinamicamente

MATRIZ FILIAL
 VPNs - PPTP e SSTP

✓ Criam conexões seguras entre redes locais pela Internet,

fornecendo túneis criptografados sobre IP Windows 10

✓ O RouterOS suporta
1. PPTP e SSTP Client
2. PPTP e SSTP Server
✓ O SSTP (Secure Socket Tunnelling Protocol) utiliza
1. A porta TCP 443 (HTTPS, passa por Firewall e Proxy)
2. Para ser seguro é necessário Certificado, mas não é
necessário no RouterOS
✓ O PPTP (Point-to-Point Tunneling Protocol) utiliza
1. A porta TCP 1723
2. O protocolo IP 47 (GRE - Generic Routing Encapsulation)
3. Usa NAT Helpers
PPTP - Cenário Site-to-Site
PPTP - Cenário Client-to-Site
 Túnel PPTP

PPTP Server PPTP Client

10.1.1.1 10.1.1.2
PPP > Interface: PPTP Server
MATRIZ
PPP > Secret
MATRIZ
 PPTP Client

✓ Se configuramos
1. Add Default Route = todo o tráfego vai pelo túnel
2. Rotas Estáticas = tráfego específico vai pelo túnel

✓ ! O PPTP não é considerado seguro

✓ Ao invés, use SSTP, OpenVPN ou L2TP com IPsec

PPP > Interface: (+) PPTP Client

FILIAL
 Túnel PPTP - Rotear e Pingar

PPTP Server PPTP Client

10.1.1.1 10.1.1.2

Pingue
para o
ADM
Pingue
para o
RECEP
SSTP - Cenário Site-to-Site
SSTP - Mecanismo de Conexão

1. A conexão TCP é estabelecida do cliente ao servidor (por padrão na porta 443)

2. SSL valida o certificado do servidor. Se o certificado for válido, a conexão será

estabelecida, caso contrário, a conexão será interrompida

3. O cliente envia pacotes de controle SSTP dentro da sessão HTTPS, que

estabelece a máquina de estado SSTP em ambos os lados.

4. Negociação de PPP sobre SSTP. O cliente se autentica no servidor e associa os

endereços IP à interface SSTP

5. O túnel SSTP agora está estabelecido e o encapsulamento de pacotes pode

começar
 Túnel SSTP

PPTP Server PPTP Client

10.1.1.1 10.1.1.2
PPP > Interface: SSTP Server
MATRIZ

PFS: Perfect Forward Secrecy

gera uma chave pra cada sessão
PPP > Secret
MATRIZ
 SSTP Client

✓ Não são necessários Certificados para conexões

entre dois RouterOS

✓ Conexões à partir do Windows, é necessário

certificado com SSTP

✓ O certificado pode ser emitido no RouterOS em

System > Certificates
PPP > Interface: (+) SSTP Client
FILIAL
 Túnel SSTP - Rotear e Pingar

PPTP Server PPTP Client

10.1.1.1 10.1.1.2

Pingue
para o
ADM
Pingue
para o
RECEP
Módulo 8 - Tunnels

Conteúdo abordado
1. PPP settings
1.1. PPP profile
1.2. PPP secret
1.3. PPP status
2. IP pool
2.1. Creating pool
2.2. Managing ranges
2.3. Assigning to a service
3. Secure local network
3.1. PPPoE service-name
3.2. PPPoE client
3.3. PPPoE server
4. Point-to-point addresses
5. Secure remote networks communication
5.1. PPTP client and PPTP server (Quick Set)
5.2. SSTP client
 Module 9 - Misc
______________________________________________________________

1. RouterOS tools
1.1. E-mail
1.2. Netwatch
1.3. Ping
1.5. Traceroute
1.5. Profiler (CPU load)
2. Monitoring
2.1. Interface traffic monitor
2.2. Torch
2.3. Graphs
2.4. SNMP
2.5. The Dude
3. Contacting support@mikrotik.com
3.1. supout.rif, autosupout.rif and viewer
3.2. System logs, enabling debug logs
3.3. readable configuration (item comments and names)
3.4. network diagrams
 RouterOS Tools

O RouterOS prove
vários utilitários que
ajudam à administrar
e monitorar
 Tools > Email

Permite enviar
backup e outras
informações
 Tools > Email: Send Email

Configurar no
Google: Permitir
aplicativos menos
seguros
 Envie E-mail do Backup > export

1. Configure: Tools > Email

2. Criar o script abaixo em: System > Scripts (+)

/export file=backup-tipo-export
/tool e-mail send to=krieger@academiamt.com.br\
subject="$[/system identity get name] backup"\
body="$[/system clock get date]\
configuration file "file=backup-tipo-export.rsc"

3. Agendar diariamente: System > Scheduler *

 Tools > Netwatch

1. Monitora o estado de Hosts

2. Envia ICMP echo request
(ping)
3. Pode executar um script
quando um Host não está
alcançável (Down) ou
alcançável (Up)
Tools > Ping
 Tools > Traceroute

1. Mostra a rota do
pacote
Resolve o nome do Host

2. Pode usar os
protocolos ICMP
ou UDP
 Tools > Profile

Mostra em tempo real

do uso da CPU para
cada processo
Wireless > Intefaces: wlan1 > Traffic

1. Tráfego em tempo real

2. Em cada interface
3. Visto através do:
1. Winbox
2. WebFig
3. CLI
Tools > Graphing

Média do
tráfego e uso
dos recursos
http://192.168.88.1/graphs
http://192.168.88.1/graphs
 IP > SNMP

Simple Network Management Protocol

(Protocolo Simples de Gerência de Rede)

1. Monitora e gerencia dispositivos

2. Versões suportadas: v1, v2 e v3
3. Comandos para o ROS são limitados
4. Usa portas:
1. UDP 161 (Agente, gera TRAP)
2. UDP 162 (Gerente)
IP > SNMP
 Button Mode

/system script add name=test-script source={:log info message=("1234567890");}

/system routerboard mode-button set on-event=test-script
/system routerboard mode-button set enabled=yes
 The Dude (O Cara) (1-3)

NMS - Network Management Station

(Estação de Gerenciamento de Rede)

1. Monitora e gerencia a rede e gera alertas

2. Descobre dispositivos e monta o mapa

3. É um Gerente SNMP

4. Faz consultas (GET) ou solicita modificações (SET)

The Dude (O Cara) (2-3)
1. Monitora via:
1. SNMP
2. ICMP
3. DNS
4. TCP
2. O Gerente roda no RouterOS em:
1. CCR (Cloud Core Router)
2. CHR (Cloud Hosted Router)
3. RB3011 e RB4011
4. x86
5. hEX (RB750Gr3)
6. RB1100Hx4
3. O Cliente roda no:
1. Windows
2. Linux (com Wine)
3. OS X (com Wine)
4. RouterOS
 The Dude (O Cara) (3-3)

Mais informações na The Dude wiki page

 System > Logging

O RouterOS loga informações

sobre o router e armazena na
1. Memória (Padrão)
2. No disco
3. Ou envia pra um
Syslog Server remoto
System > Logging: (+) New Log Rule

Nova Regra de Log:

Topics: wireless
debug (detalha)
Action: memory
Módulo 9 - Miscellaneous

Conteúdo abordado
1. RouterOS tools
1.1. E-mail
1.2. Netwatch
1.3. Ping
1.5. Traceroute
1.5. Profiler (CPU load)
2. Monitoring
2.1. Interface traffic monitor
2.2. Torch
2.3. Graphs
2.4. SNMP
2.5. The Dude
3. Contacting support@mikrotik.com
3.1. supout.rif, autosupout.rif and viewer
3.2. System logs, enabling debug logs
3.3. readable configuration (item comments and names)
3.4. network diagrams