Treinamento Mikrotik RouterOS

Prévia do material em texto

TREINAMENTO MIKROTIK 
CERTIFICAÇÃO 
Produzido por: MKT Solutions
www.mktsolutions.net.br
www.lancore.com.br
Instrutor: Guilherme Ramires
TREINAMENTO MIKROTIK 
CERTIFICAÇÃO – MTCNA
Solutions e Lancore Networks
www.mktsolutions.net.br
www.lancore.com.br
Instrutor: Guilherme Ramires
AGENDA
• Treinamento diário das 09:00
• Coffe break as 10:30hs e as 16:00
• Almoço as 13:00hs – 1 hora de duração
AGENDA
Treinamento diário das 09:00hs às 18:00hs
e as 16:00hs
1 hora de duração
2
Algumas regras importantes
• Por ser um curso oficial, o mesmo não poderá ser filmado 
ou gravado
• Procure deixar seu aparelho celular desligado ou em modo 
silencioso
• Durante as explanações evite as conversas paralelas. Elas 
serão mais apropriadas nos laboratórios
• Desabilite qualquer interface wireless ou dispositivo 3G 
em seu laptop
Algumas regras importantes
Por ser um curso oficial, o mesmo não poderá ser filmado 
Procure deixar seu aparelho celular desligado ou em modo 
Durante as explanações evite as conversas paralelas. Elas 
serão mais apropriadas nos laboratórios
Desabilite qualquer interface wireless ou dispositivo 3G 
3
Algumas regras importantes
• Perguntas são sempre bem vindas. Muitas vezes a sua 
dúvida é a dúvida de todos.
• O acesso a internet será disponibilizado para efeito 
didático dos laboratórios. Portanto evite o uso 
inapropriado.
• O certificado de participação somente será concedido a 
quem obtiver presença igual ou superior a 75%.
Algumas regras importantes
Perguntas são sempre bem vindas. Muitas vezes a sua 
dúvida é a dúvida de todos.
O acesso a internet será disponibilizado para efeito 
didático dos laboratórios. Portanto evite o uso 
O certificado de participação somente será concedido a 
quem obtiver presença igual ou superior a 75%.
4
Apresente-se a turma
• Diga seu nome;
• Sua empresa;
• Seu conhecimento sobre o 
• Seu conhecimento com redes;
• O que você espera do curso;
• Lembre-se de seu número: XY
se a turma
Seu conhecimento sobre o RouterOS;
Seu conhecimento com redes;
O que você espera do curso;
se de seu número: XY
5
Objetivos do curso
• Prover um visão geral sobre o Mikrotik 
as RouterBoards.
• Mostrar de um modo geral todas ferramentas que o 
Mikrotik RouterOS dispõe para prover boas 
soluções.
Objetivos do curso
Prover um visão geral sobre o Mikrotik RouterOS e 
Mostrar de um modo geral todas ferramentas que o 
dispõe para prover boas 
6
Onde está a Mikrotik ?Onde está a Mikrotik ?
7
RouterBoards
• São hardwares criados pela Mikrotik;
• Atualmente existe uma grande variedade de 
RouterBoards. 
RouterBoards
São hardwares criados pela Mikrotik;
Atualmente existe uma grande variedade de 
8
Mikrotik RouterOS
• RouterOS é o sistema operacional das 
RouterBoards e que pode ser configurado como:
– Um roteador dedicado
– Controlador de banda
– Firewall
– Gerenciador de usuários
– Dispositivo QoS personalizado
– Qualquer dispositivo wirless 802.11a/b/g/n
• Além das RouterBoards ele também pode ser instalado em 
PC’s.
RouterOS
é o sistema operacional das 
e que pode ser configurado como:
802.11a/b/g/n
ele também pode ser instalado em 
9
Instalação do 
• O Mikrotik RouterOS pode ser instalado a partir de:
– CD ISO bootável – imagem
– Via rede com utilitário Netinstall
Instalação do RouterOS
pode ser instalado a partir de:
imagem
Netinstall
10
Onde obter o Mikrotik 
• Para obter os últimos pacotes do Mikrotik 
basta acessar: 
http://www.mikrotik.com/download.html
• Lá você poderá baixar as imagens “.
• Os pacotes combinados
• E os pacotes individuais
Onde obter o Mikrotik RouterOS
Para obter os últimos pacotes do Mikrotik RouterOS
http://www.mikrotik.com/download.html
Lá você poderá baixar as imagens “.iso”
11
Instalando pelo CD
• Inicie o PC com o modo boot pelo CD
Instalando pelo CD
Inicie o PC com o modo boot pelo CD
12
Pacotes do RouterOS
• System: Pacote principal contendo os serviços básiscos
• PPP: Suporte a serviços PPP como PPPoE, L2TP, PPTP, etc..
• DHCP: Cliente e Servidor DHCP
• Advanced-tools: Ferramentas de diagnóstico, netwatch
• Arlan: Suporte a uma antiga placa Aironet – antiga 
• Calea: Pacote para vigilância de conexões (Exigido somente nos EUA)
• GPS: Suporte a GPS ( tempo e posição )
• HotSpot: Suporte a HotSpot
• ISDN: Suporte as antigas conexões ISDN
• LCD: Suporte a display LCD
• NTP: Servidor de horário oficial mundial
RouterOS
básiscos e drivers. A rigor é o único que é obrigatório
, L2TP, PPTP, etc..
netwatch e outros ultilitários
antiga arlan
: Pacote para vigilância de conexões (Exigido somente nos EUA)
13
Pacotes do RouterOS
• Radiolan: Suporte a placa RadioLan
• RouterBoard: Utilitário para RouterBoards
• Routing: Suporte a roteamento dinâmico tipo RIP, OSPF, BGP
• RSTP-BRIGE-TEST: Protocolo RSTP
• Security: Suporte a ssh, IPSec e conexão segura do 
• Synchronous: suporte a placas síncronas Moxa, Cyclades PC300, etc...
• Telephony: Pacote de suporte a telefônia – protocolo h.323
• UPS: Suporte as no-breaks APC
• User-Manager: Serviço de autenticação User-Manager
• Web-Proxy: Serviço Web-Proxy
• Wireless: Suporte a placas Atheros e PrismII
• Wireless-legacy: Suporte as placas antigas Atheros, 
RouterOS
: Suporte a roteamento dinâmico tipo RIP, OSPF, BGP
e conexão segura do winbox
, Cyclades PC300, etc...
protocolo h.323
Manager
, PrismII e Aironet
14
Instalando pelo CD
• Pode-se selecionar os pacotes desejados usando a barra de espaços ou “a” para 
todos. Em seguida pressione “i” para instalar os pacotes selecionados. Caso haja 
configurações pode-se mantê-las pressionando “y”.
Instalando pelo CD
se selecionar os pacotes desejados usando a barra de espaços ou “a” para 
todos. Em seguida pressione “i” para instalar os pacotes selecionados. Caso haja 
las pressionando “y”.
15
Instalação com 
• Pode ser instalado em PC que boota via rede(configurar 
na BIOS)
• Pode ser baixado também em: 
http://www.mikrotik.com/download.html
• O netinstall é um excelente recurso para reinstalar em 
routerboards quando o sistema foi danificado ou quando 
se perde a senha do equipamento.
Instalação com Netinstall
via rede(configurar 
http://www.mikrotik.com/download.html
é um excelente recurso para reinstalar em 
quando o sistema foi danificado ou quando 
16
Instalação com 
• Para se instalar em uma RouterBoard
inicialmente temos que entrar via serial, com 
cabo null modem e os seguintes parâmetros:
– Velocidade: 115.200 bps
– Bits de dados: 8
– Bits de parada: 1
– Controle de fluxo: hardware
Instalação com Netinstall
RouterBoard, 
inicialmente temos que entrar via serial, com 
modem e os seguintes parâmetros:
Controle de fluxo: hardware
17
Instalação com Netinstall
• Atribuir um IP para o Net 
Booting na mesma faixa 
da placa de rede da 
máquina
• Coloque na máquina os 
pacotes a serem 
instalados
• Bootar e selecionar os 
pacotes a serem 
instalados
Instalação com Netinstall
18
Primeiro acesso
• O processo de instalação não configura IP no 
Mikrotik. Portanto o primeiro acesso pode ser feito 
das seguintes maneiras:
– Direto no console (em pcs)
– Via terminal
– Via telnet de MAC, através de outro 
Mikrotik ou sistema que suporte 
telnet de MAC e esteja no mesmo 
barramento físico de rede
– Via Winbox
Primeiro acesso
O processo de instalação não configura IP no 
Mikrotik. Portanto o primeiro acesso pode ser feito 
de MAC, através de outro 
Mikrotik ou sistema que suporte 
de MAC e esteja no mesmo 
19
Console no Mikrotik
• Através do consoledo Mikrotik é possível acessar todas 
configurações do sistema de forma hierárquica 
conforme os exemplos abaixo:
Acessando o menu “interface”
[admin@MikroTik] > interface
[admin@MikroTik] interface > ethernet
Para retornar ao nível anterior basta digitar ..
[admin@MikroTik] interface ethernet> ..
[admin@MikroTik] interface > 
Para voltar ao raiz digite /
[admin@MikroTik] interface ethernet> /
[admin@MikroTik] >
Console no Mikrotik
Através do console do Mikrotik é possível acessar todas 
configurações do sistema de forma hierárquica 
conforme os exemplos abaixo:
Para retornar ao nível anterior basta digitar ..
20
Console no Mikrotik
• ? Mostra um help para o diretório em que se esteja
• ? Após um comando incompleto mostra as opções 
disponíveis para o comando
• Comandos podem ser completados com a tecla TAB
• Havendo mais de uma opção para o já digitado, 
pressione TAB 2 vezes para mostrar as opções 
disponíveis
Console no Mikrotik
? Mostra um help para o diretório em que se esteja
? Após um comando incompleto mostra as opções 
Comandos podem ser completados com a tecla TAB
Havendo mais de uma opção para o já digitado, 
pressione TAB 2 vezes para mostrar as opções 
21
Console no Mikrotik
• Comando PRINT mostra informações de configuração:
[admin@MikroTik] > interface ethernet> print
Flags: X - disabled, R - running, S - slave 
# NAME MTU MAC-ADDRESS ARP
0 R ether1 1500 00:0C:42:34:F7:02 enabled
[admin@MikroTik] > interface ethernet> print
0 R name="ether1" mtu=1500 l2mtu=1526 mac
auto-negotiation=yes full-duplex=yes speed=100Mbps
Console no Mikrotik
Comando PRINT mostra informações de configuração:
print
ARP MASTER-PORT SWITCH
ether1 1500 00:0C:42:34:F7:02 enabled
print detail
mac-address=00:0C:42:34:F7:02 arp=enabled 
duplex=yes speed=100Mbps
22
Console no Mikrotik
• É possível monitorar o status das interfaces com o seguinte comando:
[guilherme@MKT] > interface wireless monitor wlan1
status: running-ap
band: 5ghz
frequency: 5765MHz
noise-floor: -112dBm
overall-tx-ccq: 93%
registered-clients: 8
authenticated-clients: 8
current-ack-timeout: 33
nstreme: no
current-tx-powers: 9Mbps:21(21/21),12Mbps:21(21/21),18Mbps:21(21/21) 
24Mbps:21(21/21),36Mbps:20(20/20),48Mbps:19(19/19),54Mbps:18(18/18)
Console no Mikrotik
É possível monitorar o status das interfaces com o seguinte comando:
interface wireless monitor wlan1
: 9Mbps:21(21/21),12Mbps:21(21/21),18Mbps:21(21/21) 
24Mbps:21(21/21),36Mbps:20(20/20),48Mbps:19(19/19),54Mbps:18(18/18)
23
Console no Mikrotik
• Comandos para manipular regras
– add, set, remove: adiciona, muda e remove regras;
– disabled: desabilita regra sem deletar;
– move: move a regra cuja a ordem influência.
• Comando Export
– Exporta todas as configurações do diretoria acima;
– Pode ser copiado e colado em um editor de textos;
– Pode ser exportado para arquivo.
• Comando Import
– Importa um arquivo de configuração criado pelo comando export.
Console no Mikrotik
, set, remove: adiciona, muda e remove regras;
disabled: desabilita regra sem deletar;
move: move a regra cuja a ordem influência.
Exporta todas as configurações do diretoria acima;
Pode ser copiado e colado em um editor de textos;
Importa um arquivo de configuração criado pelo comando export.
24
WINBOX
• Winbox é o utilitário para administração do Mikrotik em modo gráfico. 
Funciona em Windows. Para funcionar no Linux é necessário a instalação 
do emulador Wine. A comunicação é feita pela porta TCP 8291 e caso você 
habilite a opção “Secure Mode” a comunicação será criptografada. 
• Para baixar o winbox acesse o link: 
http://www.mikrotik.com/download.html
WINBOX
é o utilitário para administração do Mikrotik em modo gráfico. 
Funciona em Windows. Para funcionar no Linux é necessário a instalação 
. A comunicação é feita pela porta TCP 8291 e caso você 
” a comunicação será criptografada. 
http://www.mikrotik.com/download.html
25
Acessando pelo WINBOX
• É possível acessar o Mikrotik inicialmente sem endereço IP, através 
do MAC da interface do dispositivo que está no mesmo barramento 
físico que o usuário. Para isso basta clicar nos 3 pontos e selecione o 
MAC que aparecerá.
Acessando pelo WINBOX
• É possível acessar o Mikrotik inicialmente sem endereço IP, através 
do MAC da interface do dispositivo que está no mesmo barramento 
físico que o usuário. Para isso basta clicar nos 3 pontos e selecione o 
MAC que aparecerá.
26
Configuração em Modo Seguro
• O Mikrotik permite o acesso ao sistema através do “modo seguro”. Este 
modo permite desfazer as configurações modificadas caso a sessão seja 
perdida de forma automática. Para habilitar o modo seguro pressione 
“CTRL+X”.
Configuração em Modo Seguro
O Mikrotik permite o acesso ao sistema através do “modo seguro”. Este 
modo permite desfazer as configurações modificadas caso a sessão seja 
perdida de forma automática. Para habilitar o modo seguro pressione 
27
Configuração em Modo Seguro
• Se um usuário entra em modo seguro, quando já há um nesse 
modo, a seguinte mensagem será dada:
“Hijacking Safe Mode from someone – unroll/release/
u – desfaz todas as configurações anteriores feitas em modo 
seguro e põe a presente sessão em modo seguro
d – deixa tudo como está
r – mantém as configurações no modo seguro e põe a sessão 
em modo seguro. O outro usuário receberá a seguinte 
mensagem:
“Safe Mode Released by another user”
Configuração em Modo Seguro
Se um usuário entra em modo seguro, quando já há um nesse 
modo, a seguinte mensagem será dada:
/release/dont take it [u/r/d]
desfaz todas as configurações anteriores feitas em modo 
seguro e põe a presente sessão em modo seguro
mantém as configurações no modo seguro e põe a sessão 
em modo seguro. O outro usuário receberá a seguinte 
28
Configuração em Modo Seguro
• Todas configurações são desfeitas caso você perca comunicação com o 
roteador, o terminal seja fechado clicando no “x” ou pressionando 
CTRL+D. 
• Configurações realizadas em modo seguro não são sofrem marcações na 
lista de historico até serem confirmadas ou desfeitas. A 
que a ação não será desfeita. A flag “R” significa que a ação foi desfeita.
• É possível visualizar o histórico de modificações através do menu: 
/system history print
Obs.: O número máximo de registros em modo seguro é de 100. 
Configuração em Modo Seguro
Todas configurações são desfeitas caso você perca comunicação com o 
roteador, o terminal seja fechado clicando no “x” ou pressionando 
Configurações realizadas em modo seguro não são sofrem marcações na 
até serem confirmadas ou desfeitas. A flag “U” significa 
“R” significa que a ação foi desfeita.
É possível visualizar o histórico de modificações através do menu: 
Obs.: O número máximo de registros em modo seguro é de 100. 
29
Manutenção do Mikrotik
• Atualização
• Gerenciando pacotes
• Backup
• Informações sobre licenciamento
Manutenção do Mikrotik
Informações sobre licenciamento
30
Atualizações
• As atualizações podem ser feitas a 
partir de um conjunto de pacotes 
combinados ou individuais.
• Os arquivo tem extensão .npk e para 
atualizar a versão basta fazer o 
upload para o diretório raiz e efetuar 
um reboot.
• O upload pode ser feito por FTP ou 
copiando e colando pelo Winbox.
Atualizações
e para 
para o diretório raiz e efetuar 
pode ser feito por FTP ou 
31
Pacotes
• Adicionar novas funcionalidades podem ser feitas 
através de alguns pacotes que não fazem parte do 
conjunto padrão de pacotes combinado. 
• Esses arquivos também possuem extensão .
para instalá-los basta fazer o 
Mikrotik e efetuar um reboot
• Alguns pacotescomo “User
“Multicast” são exemplos de pacotes adicionais 
que não fazem parte do pacote padrão. 
Pacotes
Adicionar novas funcionalidades podem ser feitas 
através de alguns pacotes que não fazem parte do 
conjunto padrão de pacotes combinado. 
Esses arquivos também possuem extensão .npk e 
los basta fazer o upload para o 
reboot do sistema.
User Manager” e 
” são exemplos de pacotes adicionais 
que não fazem parte do pacote padrão. 
32
Pacotes
• Alguns pacotes podem ser habilitados e desabilitados 
conforme sua necessidade.
Pacotes
Alguns pacotes podem ser habilitados e desabilitados 
33
Pacote desabilitado
Pacote marcado para ser 
desabilitado
Pacote marcado para ser 
habilitado
Backup
• Para efetuar o backup 
basta ir em Files e clicar no 
botão “Backup”.
• Para restaurar o backup 
basta selecionar o arquivo 
e clicar em “Restore”.
• Este tipo de backup pode causar problemas de MAC caso 
seja restaurado em outro hardware. Para efetuar um 
backup por partes use o comando “
Backup
Este tipo de backup pode causar problemas de MAC caso 
seja restaurado em outro hardware. Para efetuar um 
backup por partes use o comando “export”.
34
LicenciamentoLicenciamento
• A chave é gerada sobre 
um software-id fornecido 
pelo sistema.
• A licença fica vinculada ao 
HD ou Flash e/ou placa 
mãe.
• A formatação com outras 
ferramentas muda o 
software-id causa a perda 
da licença.
35
Dúvidas ???Dúvidas ???
36
Nivelamento de conhecimentos TCP/IPNivelamento de conhecimentos TCP/IP
37
Modelo OSI 
(Open System Interconnection
CAMADA 7 – Aplicação: Comunicação com os programas. SNMP e TELNET.
CAMADA 6 – Apresentação: Camada de tradução. Compressão e criptografia
CAMADA 5 – Sessão: Estabelecimento das sessões TCP.
CAMADA 4 – Transporte: Controle de fluxo, ordenação dos pacotes e correção de erros
CAMADA 3 – Rede: Associa endereço físico ao endereço
CAMADA 2 – Enlace: Endereçamento físico. Detecta e corrige erros da camada 1
CAMADA 1 – Física: Bits de dados
Modelo OSI 
Interconnection)
38
Aplicação: Comunicação com os programas. SNMP e TELNET.
Apresentação: Camada de tradução. Compressão e criptografia
Sessão: Estabelecimento das sessões TCP.
Transporte: Controle de fluxo, ordenação dos pacotes e correção de erros
Rede: Associa endereço físico ao endereço lógico
Enlace: Endereçamento físico. Detecta e corrige erros da camada 1
Camada I – Camada Física
• A camada física define as características 
técnicas dos dispositivos elétricos.
• É nesse nível que são definidas as 
especificações de cabeamento estruturado, 
fibras ópticas, etc... No caso da wireless é a 
camada I que define as modulações, 
frequências e largura de banda das portadores.
Camada Física
A camada física define as características 
técnicas dos dispositivos elétricos.
É nesse nível que são definidas as 
especificações de cabeamento estruturado, 
fibras ópticas, etc... No caso da wireless é a 
camada I que define as modulações, 
e largura de banda das portadores.
39
Camada II -
• Camada responsável pelo endereçamento físico, 
controle de acesso ao meio e correções de erros da 
camada I.
• Endereçamento físico se faz pelos endereços MAC 
(Controle de Acesso ao Meio) que são únicos no mundo 
e que são atribuídos aos dispositivos de rede.
• Ethernets e PPP são exemplos de dispositivos que 
trabalham em camada II.
Enlace
Camada responsável pelo endereçamento físico, 
controle de acesso ao meio e correções de erros da 
Endereçamento físico se faz pelos endereços MAC 
(Controle de Acesso ao Meio) que são únicos no mundo 
e que são atribuídos aos dispositivos de rede.
Ethernets e PPP são exemplos de dispositivos que 
40
Endereço MAC
• É o único endereço físico de um dispositivo de rede
• É usado para comunicação com a rede local
• Exemplo de endereço MAC: 00:0C:42:00:00:00
Endereço MAC
É o único endereço físico de um dispositivo de rede
É usado para comunicação com a rede local
Exemplo de endereço MAC: 00:0C:42:00:00:00
41
Camada III 
• Responsável pelo endereçamento lógico dos 
pacotes.
• Transforma endereços lógicos(endereços 
endereços físicos de rede.
• Determina que rota os pacotes irão seguir para 
atingir o destino baseado em fatores tais como 
condições de tráfego de rede e prioridade.
Camada III - Rede
Responsável pelo endereçamento lógico dos 
Transforma endereços lógicos(endereços IPs) em 
endereços físicos de rede.
Determina que rota os pacotes irão seguir para 
atingir o destino baseado em fatores tais como 
condições de tráfego de rede e prioridade.
42
Endereço IP
• É o endereço lógico de um dispositivo de rede
• É usado para comunicação entre redes
• Exemplo de endereço ip: 200.200.0.1
Endereço IP
É o endereço lógico de um dispositivo de rede
É usado para comunicação entre redes
: 200.200.0.1
43
Sub Rede
• É uma faixa de endereços IP que divide as redes em segmentos
• Exemplo de sub rede: 255.255.255.0 ou /24
• O endereço de REDE é o primeiro IP da sub rede
• O endereço de BROADCAST é o último IP da sub rede
• Esses endereços são reservados e não podem ser usados
End. IP/Máscara End. de Rede
192.168.1.0/23 192.168.0.0
192.168.1.1/24 192.168.1.0
192.168.1.1/25 192.168.1.0
192.168.1.1/26 192.168.1.0
Sub Rede
É uma faixa de endereços IP que divide as redes em segmentos
Exemplo de sub rede: 255.255.255.0 ou /24
O endereço de REDE é o primeiro IP da sub rede
O endereço de BROADCAST é o último IP da sub rede
Esses endereços são reservados e não podem ser usados
44
End. Broadcast
192.168.1.255
192.168.1.255
192.168.1.127
192.168.1.63
Endereçamento CIDREndereçamento CIDR
45
Protocolo ARP – Address
• Utilizado para associar IP’s com endereços físicos.
• Faz a intermediação entre a camada II e a camada III da 
seguinte forma:
1. O solicitante de ARP manda um pacote de broadcast com 
informação do IP de destino, IP de origem e seu MAC, 
perguntando sobre o MAC de destino.
2. O host que tem o IP de destino responde fornecendo seu MAC.
3. Para minimizar o broadcast, o S.O mantém um tabela ARP 
constando o par (IP – MAC).
Resolution Protocol
com endereços físicos.
Faz a intermediação entre a camada II e a camada III da 
O solicitante de ARP manda um pacote de broadcast com 
informação do IP de destino, IP de origem e seu MAC, 
perguntando sobre o MAC de destino.
O host que tem o IP de destino responde fornecendo seu MAC.
Para minimizar o broadcast, o S.O mantém um tabela ARP 
46
Camada IV - Transporte
• Quando no lado do remetente é responsável por 
pegar os dados das camadas superiores e dividir em 
pacotes para que sejam transmitidos para a camada 
de rede.
• No lado do destinatário pega 
recebidos da camada de rede, remonta os dados 
originais e os envia para à camada superior.
Estão na camada IV: TCP, UDP, RTP
Transporte
Quando no lado do remetente é responsável por 
pegar os dados das camadas superiores e dividir em 
pacotes para que sejam transmitidos para a camada 
No lado do destinatário pega pega os pacotes 
recebidos da camada de rede, remonta os dados 
originais e os envia para à camada superior.
Estão na camada IV: TCP, UDP, RTP
47
Camada IV - Transporte
Protocolo TCP:
O TCP é um protocolo de transporte que executa 
importantes funções para garantir que os dados sejam 
entregues de forma confiável, ou seja, sem que os 
dados sejam corrompidos ou alterados.
Protocolo UDP:
O UDP é um protocolo não orientado a conexão e 
portanto é mais rápido que o TCP. Entretanto não 
garante a entrega dos dados.
Transporte
O TCP é um protocolo de transporte que executa 
importantes funções para garantir queos dados sejam 
entregues de forma confiável, ou seja, sem que os 
dados sejam corrompidos ou alterados.
O UDP é um protocolo não orientado a conexão e 
portanto é mais rápido que o TCP. Entretanto não 
garante a entrega dos dados.
48
Características do protocolo TCP
 Garante a entrega de data gramas IP. 
 Executa a segmentação e reagrupamento de grande blocos de dados enviados 
pelos programas e garante o seqüenciamento adequado e a entrega ordenada de 
dados segmentados. 
 Verifica a integridade dos dados transmitidos usando cálculos de soma de 
verificação.
 Envia mensagens positivas dependendo do recebimento bem
Ao usar confirmações seletivas, também são enviadas confirmações negativas 
para os dados que não foram recebidos.
 Oferece um método preferencial de transporte de programas que devem usar 
transmissão confiável de dados baseados em sessões, como banco de dados 
cliente/servidor por exemplo.
Características do protocolo TCP
Executa a segmentação e reagrupamento de grande blocos de dados enviados 
pelos programas e garante o seqüenciamento adequado e a entrega ordenada de 
Verifica a integridade dos dados transmitidos usando cálculos de soma de 
Envia mensagens positivas dependendo do recebimento bem-sucedido dos dados. 
Ao usar confirmações seletivas, também são enviadas confirmações negativas 
Oferece um método preferencial de transporte de programas que devem usar 
transmissão confiável de dados baseados em sessões, como banco de dados 
49
Diferenças básicas entre TCP e UDP
TCP
Serviço orientado por conexão.
Serviço sem conexão.
Garante a entrega através do uso de 
confirmação e entrega seqüenciada dos 
dados.
Programas que usam TCP tem garantia 
de transporte confiável de dados.
Mais lento, usa mais recursos e somente 
dá suporte a ponto a ponto.
Diferenças básicas entre TCP e UDP
50
UDP
Serviço sem conexão. Não é estabelecida 
conexão entre os hosts.
Não garante ou não confirma entrega
dos dados.
Programas que usam UDP são 
responsáveis pela confiabilidade dos 
dados.
Rápido, exige poucos recursos e oferece 
comunicação ponto a ponto e 
multiponto.
Estado das conexões
• É possível observar o estado das conexões no MikroTik no menu Connections.
Estado das conexões
É possível observar o estado das conexões no MikroTik no menu Connections.
51
Portas TCP
Protocolo
TCP
FTP 
Porta 21
SSH 
Porta 22
O uso de portas, permite o funcionamento de vários serviços, ao 
mesmo tempo, no mesmo computador, trocando informações com um 
ou mais serviços/servidores.
Portas abaixo de 1024 são registradas para serviços especiais.
Portas TCP
Protocolo
Telnet
Porta 23
WEB 
Porta 80
52
O uso de portas, permite o funcionamento de vários serviços, ao 
mesmo tempo, no mesmo computador, trocando informações com um 
Portas abaixo de 1024 são registradas para serviços especiais.
Dúvidas ????Dúvidas ????
53
DIAGRAMA INICIALDIAGRAMA INICIAL
54
Configuração do 
• Adicione os ips as interfaces
Obs.: Atente para selecionar as interfaces corretas.
Configuração do Router
as interfaces
Obs.: Atente para selecionar as interfaces corretas.
55
Configuração do 
• Adicione a rota padrão
1
2
3
4
Configuração do Router
56
Configuração do 
• Adicione o servidor DNS
2
1
4
Configuração do Router
57
3
Configuração do 
• Configuração da interface wireless
Configuração do Router
Configuração da interface wireless
58
Teste de conectividade
• Pingar a partir da RouterBoard
192.168.X.254
• Pingar a partir da RouterBoard
www.mikrotik.com;
• Pingar a partir do notebook o seguinte 
192.168.X.254
• Pingar a partir do notebook o seguinte endereço: 
www.mikrotik.com;
• Analisar os resultados
Teste de conectividade
• Pingar a partir da RouterBoard o seguinte ip: 
192.168.X.254
• Pingar a partir da RouterBoard o seguinte endereço: 
www.mikrotik.com;
• Pingar a partir do notebook o seguinte ip: 
192.168.X.254
• Pingar a partir do notebook o seguinte endereço: 
www.mikrotik.com;
• Analisar os resultados
59
Corrigir o problema de conectividade
• Diante do cenário apresentado quais soluções 
podemos apresentar?
– Adicionar rotas estáticas;
– Utilizar protocolos de roteamento dinâmico;
– Utilizar NAT(Network Address
Corrigir o problema de conectividade
Diante do cenário apresentado quais soluções 
Utilizar protocolos de roteamento dinâmico;
Address Translation).
60
Utilização do NAT
• O mascaramento é a técnica que permite que vários 
hosts de uma rede compartilhem um mesmo endereço 
IP de saída do roteador. No Mikrotik o mascaramento é 
feito através do Firewall na funcionalidade do NAT.
• Todo e qualquer pacote de dados de uma rede possui 
um endereço IP de origem e destino. Para mascarar o 
endereço, o NAT faz a troca do endereço IP de origem. 
Quando este pacote retorna ele é encaminhando ao 
host que o originou.
Utilização do NAT
O mascaramento é a técnica que permite que vários 
hosts de uma rede compartilhem um mesmo endereço 
IP de saída do roteador. No Mikrotik o mascaramento é 
feito através do Firewall na funcionalidade do NAT.
Todo e qualquer pacote de dados de uma rede possui 
um endereço IP de origem e destino. Para mascarar o 
endereço, o NAT faz a troca do endereço IP de origem. 
Quando este pacote retorna ele é encaminhando ao 
61
• Adicionar uma regra de NAT, mascarando as 
requisições que saem pela interface wlan1.
3
1
2
4
Adicionar uma regra de NAT, mascarando as 
requisições que saem pela interface wlan1.
62
Teste de conectividade
• Efetuar os testes de ping a partir do notebook;
• Analisar os resultados;
• Efetuar os eventuais reparos.
Após a confirmação de que tudo está funcionando, faça 
o backup da routerboard e armazene
Ele será usado ao longo do curso.
Teste de conectividade
a partir do notebook;
Efetuar os eventuais reparos.
Após a confirmação de que tudo está funcionando, faça 
e armazene-o no notebook. 
Ele será usado ao longo do curso.
63
Gerenciando usuários
• O acesso ao roteador pode ser controlado;
• Pode-se criar usuários e/ou grupos diferentes;
1
2
Gerenciando usuários
O acesso ao roteador pode ser controlado;
se criar usuários e/ou grupos diferentes;
64
Gerenciamento de usuários
• Adicione um novo usuário com seu nome e dê a ele 
acesso “Full”
• Mude a permissão do usuário “
• Faça login com seu novo usuário.
Gerenciamento de usuários
• Adicione um novo usuário com seu nome e dê a ele 
acesso “Full”
• Mude a permissão do usuário “admin” para “Read”
• Faça login com seu novo usuário.
65
Atualizando a RouterBoard
• Faça o download dos pacotes no seguinte endereço: 
ftp://172.31.254.2
• Faça o upload dos pacotes para sua 
• Reinicie a RouterBoard para que os pacotes novos 
sejam instalados
• Confira se os novos pacotes foram instalados com 
sucesso.
Atualizando a RouterBoard
• Faça o download dos pacotes no seguinte endereço: 
ftp://172.31.254.2
• Faça o upload dos pacotes para sua RouterBoard
• Reinicie a RouterBoard para que os pacotes novos 
sejam instalados
• Confira se os novos pacotes foram instalados com 
sucesso.
66
Wireless no MikrotikWireless no Mikrotik
67
Configurações Físicas
Padrão IEEE Frequência Tecnologia
802.11b 2.4 Ghz DSSS
802.11g 2.4 Ghz OFDM
802.11a 5 Ghz OFDM
802.11n 2.4 Ghz e 5 Ghz BQSP, QPSQ e QAM
Configurações Físicas
Velocidades
1, 2, 5.5 e 11 Mbps
6, 9, 12, 18, 24, 36, 48 e 54 Mbps
6, 9, 12, 18, 24, 36, 48 e 54 Mbps
BQSP, QPSQ e QAM De 6.5Mbps até 600 Mbps
68
802.11b - DSSS
69
Canais não interferentes em 
2.4 Ghz -
2.412 GHz2.437 GHz
Canal 1 Canal 6
Canais não interferentes em 
DSSS
70
2.437 GHz 2.462 GHz
Canal 11
Configurações Físicas 
• 2.4Ghz-B/G: Modo misto 802.11b e 802.11g recomendado para ser 
usado somente em processo de migração.
Configurações Físicas – 2.4Ghz
• 2.4Ghz-B: Modo 802.11b, 
que permite velocidades de 
1 à 11 Mbps e utiliza 
espalhamento espectral.
• 2.4Ghz-only-G: Modo 
802.11g, que permite 
velocidades de 6 à 54 Mbps
e utiliza OFDM. 
71
Modo misto 802.11b e 802.11g recomendado para ser 
usado somente em processo de migração.
Canais do espectro de 5Ghz
• Em termos regulatórios a frequência
 Faixa baixa: 5150 a 5350 Mhz
 Faixa média: 5470 a 5725 Mhz
 Faixa alta: 5725 a 5850 Mhz
Canais do espectro de 5Ghz
frequência de 5Ghz é dividida em 3 faixas:
72
Aspectos legais do espectro de 5Ghz
Faixa Baixa
Freqüências 5150-5250 5250-5350
Largura 100 Mhz 100 Mhz
Canais 4 canais 4 canais
Detecção de 
radar 
obrigatória
Aspectos legais do espectro de 5Ghz
73
Faixa Média Faixa Alta
5350 5470-5725 5725-5850
Mhz 255 Mhz 125 Mhz
4 canais 11 canais 5 canais
Detecção de 
obrigatória
Detecção de 
radar 
obrigatória
Configurações Físicas 
 O modo 5Ghz permite ainda as variações
largura de banda que permite selecionar freqüências mais especificas, 
porém reduzindo a velocidade nominal.
 Permite ainda a seleção do modo turbo ou “a/n” dependendo do 
modelo do cartão.
Configurações Físicas – 5 Ghz
• 5Ghz: Modo 802.11a 
opera nas três faixas 
permitidas com 
velocidades que vão de 
6Mbps a 54 Mbps.
74
as variações de uso em 10Mhz e 5Mhz de 
que permite selecionar freqüências mais especificas, 
porém reduzindo a velocidade nominal.
Permite ainda a seleção do modo turbo ou “a/n” dependendo do 
Canalização em 802.11a 
 Menor troughput
 Maior número de canais
 Menor vulnerabilidade a interferências
 Requer menor sensibilidade
 Aumenta o nível de potência de 
Canalização em 802.11a – Modos 5Mhz e 10Mhz
Menor vulnerabilidade a interferências
Aumenta o nível de potência de tx
75
Canalização em 802.11a 
 Maior troughput
 Menor número de canais
 Maior vulnerabilidade a interferências
 Requer maior sensibilidade
 Diminui o nível de potência de tx
Canalização em 802.11a – Modo Turbo
Maior vulnerabilidade a interferências
tx
76
Padrão 802.11n
• INDICE:
MIMO
 Velocidades do 802.11n
 Bonding do canal
 Agregação dos frames
 Configuração dos cartões
 Potência de TX em cartões N
 Bridge transparente para links N utilizando MPLS/VPLS
Padrão 802.11n
transparente para links N utilizando MPLS/VPLS
77
MIMO
• MIMO: Multiple Input and Multiple
• SDM: Spatial Division Multiplexing
– Streams espaciais múltiplas através de múltiplas antenas.
• Configurações de antenas múltiplas para receber e 
transmitir:
1x1, 1x2, 1x3;
2x2, 2x3;
3x3
MIMO
Multiple Output
Multiplexing
espaciais múltiplas através de múltiplas antenas.
Configurações de antenas múltiplas para receber e 
78
802.11n - Velocidades nominaisVelocidades nominais
79
802.11n - Bonding dos canais 2 x 20Mhz
Adiciona mais 20Mhz ao canal existente
O canal é colocado abaixo ou acima da 
principal
É compatível com os clientes “legados” de 20Mhz
Conexão feito no canal principal
Permite utilizar taxas maiores
dos canais 2 x 20Mhz
Adiciona mais 20Mhz ao canal existente
O canal é colocado abaixo ou acima da frequência
É compatível com os clientes “legados” de 20Mhz
Conexão feito no canal principal
Permite utilizar taxas maiores
80
802.11n – Agregação dos frames
• Combina múltiplos frames de dados em um simples frame. O 
que diminui o overhead
• Agregação de unidade de dados protocolo MAC (AMPDU)
– Aggregated MAC Protocol Data 
– Usa Acknowledgement em bloco
– Pode aumentar a latência. Por padrão habilitado somente para 
tráfego de melhor esforço
• Agregação de unidade de dados de serviços MAC (AMSDU)
– Enviando e recebendo AMSDU’s
processamento, pois este é processado a nível de software.
Agregação dos frames
Combina múltiplos frames de dados em um simples frame. O 
Agregação de unidade de dados protocolo MAC (AMPDU)
Data Units
em bloco
Pode aumentar a latência. Por padrão habilitado somente para 
Agregação de unidade de dados de serviços MAC (AMSDU)
AMSDU’s causa aumento de 
processamento, pois este é processado a nível de software.
81
Configurando no Mikrotik
• HT Tx Chains / HT Rx Chains: 
No caso dos cartões “n” a 
configuração da antena é ignorada.
• HT AMSDU Limit: Máximo AMSDU 
que o dispositivo pode preparar.
• HT AMSDU Threshold: Máximo 
tamanho de frame que é permitido 
incluir em AMSDU.
Configurando no Mikrotik
82
Configurando no Mikrotik
• HT Guard Interval: Intervalo de guarda.
– Any: Longo ou curto, dependendo 
da velocidade de transmissão.
– Longo: Intervalo longo.
• HT Extension Channel: Define se será 
usado a extensão adicional de 20Mhz.
– Below: Abaixo do canal principal
– Above: Acima do canal principal
• HT AMPDU Priorities: Prioridades do 
frame para qual o AMPDU deve ser 
negociado e utilizado.
Configurando no Mikrotik
83
Configurando no Mikrotik
• Quando se utiliza 2 canais ao mesmo tempo, a potência de transmissão é 
dobrada.
Configurando no Mikrotik
Quando se utiliza 2 canais ao mesmo tempo, a potência de transmissão é 
84
Bridge transparente em enlaces “N”
• WDS não suporta agregação de frames e portanto 
não provê a velocidade total da tecnologia “n”
• EoIP incremente overhead
• Para fazer bridge transparente com velocidades 
maiores com menos overhead em enlaces “n” 
devemos utilizar MPLS/VPLS.
transparente em enlaces “N”
WDS não suporta agregação de frames e portanto 
não provê a velocidade total da tecnologia “n”
transparente com velocidades 
maiores com menos overhead em enlaces “n” 
devemos utilizar MPLS/VPLS.
85
Bridge transparente em enlaces “N”
• Para se configurar a bridge transparente em enlaces “n”, devemos 
estabelecer um link AP <-> Station e configure uma rede ponto a 
ponto /30.
– Ex.: 192.168.X.Y/30(AP) e 192.168.X.Y/30(
– Habilitar o LDP (Label Distribution Protocol
– Adicionar a wlan1 a interface MPLS 
transparente em enlaces “N”
transparente em enlaces “n”, devemos 
e configure uma rede ponto a 
Ex.: 192.168.X.Y/30(AP) e 192.168.X.Y/30(Station)
Protocol) em ambos lados.
86
Bridge transparente em enlaces “N”
• Configurar o túnel VPLS em ambos os lados
• Crie uma bridge entre a interface VPLS e a ethernet conectada
• Confira o status do LDP e do túnel VPLS
transparente em enlaces “N”
Configurar o túnel VPLS em ambos os lados
entre a interface VPLS e a ethernet conectada
87
Bridges VPLS - Considerações
• O túnel VPLS incrementa o pacote. Se este pacote 
excede o MPLS MTU da interface de 
fragmentado.
• Se a interface ethernet suportar MPLS MTU de 1522 
ou superior, a fragmentação pode ser evitada 
alterando o MTU da interface MPLS.
• Uma lista completa sobre as MTU das 
pode ser encontrada em:
http://wiki.mikrotik.com/wiki/Manual:Maximum_Transmission_Unit_on_RouterBoards
Considerações
O túnel VPLS incrementa o pacote. Se este pacote 
excede o MPLS MTU da interface de saida, este será 
Se a interface ethernet suportar MPLS MTU de 1522 
ou superior, a fragmentação pode ser evitada 
alterando o MTU da interface MPLS.
Uma lista completa sobre as MTU das RouterBoards
Maximum_Transmission_Unit_on_RouterBoards
88
Setup Outdoor para enlaces “n”
• Recomendações segundo a Mikrotik:
– Teste de canal separadamente antes de usá
mesmo tempo.
– Para operação em 2 canais, usar polarizações 
diferentes
– Quandoutilizar antenas de polarização dupla, a 
isolação mínima recomendada da antena é de 25dB.
Setup Outdoor para enlaces “n”
Recomendações segundo a Mikrotik:
Teste de canal separadamente antes de usá-los ao 
Para operação em 2 canais, usar polarizações 
Quando utilizar antenas de polarização dupla, a 
isolação mínima recomendada da antena é de 25dB.
89
Enlaces “n”
Estabeleça um link “N” com seu vizinho
Teste a performance com um e dois canais
Crie uma bridge transparente usando VPLS
Enlaces “n”
Estabeleça um link “N” com seu vizinho
Teste a performance com um e dois canais
Crie uma bridge transparente usando VPLS
90
Configurações de camada física 
• default: Não altera a potência original do cartão
• cards rates: Fixa mas respeita as variações das taxas para cada velocidade
• all rates fixed: Fixa um valor para todas velocidades
• manual: permite ajustar potências diferentes para cada velocidade
Configurações de camada física - Potências
: Não altera a potência original do cartão
: Fixa mas respeita as variações das taxas para cada velocidade
: Fixa um valor para todas velocidades
: permite ajustar potências diferentes para cada velocidade
91
Configurações de camada física 
• Quando a opção “regulatory domain” está habilitada, somente as 
permitidas para o país selecionado em “Country” estarão disponíveis. Além disso o 
Mikrotik ajustará a potência do rádio para atender a regulamentação do país, 
levando em conta o valor em dBi informado em “
• Para o Brasil esses ajustes só foram corrigidos a partir da versão 3.13
Configurações de camada física - Potências
” está habilitada, somente as frequências
permitidas para o país selecionado em “Country” estarão disponíveis. Além disso o 
Mikrotik ajustará a potência do rádio para atender a regulamentação do país, 
informado em “Antenna Gain”.
Para o Brasil esses ajustes só foram corrigidos a partir da versão 3.13
92
Configurações da camada física 
• Em cartões que tem duas 
para antenas, é possível escolher:
– antena a
– antena b
– rx-a/tx-
– tx-a/rx-
Configurações da camada física – Seleção de antena
Em cartões que tem duas saidas
para antenas, é possível escolher:
antena a: utiliza antena “a”(main) para tx e rx
antena b: utiliza antena “b”(aux) para tx e rx
-b: recepção em “a” e transmissão em “b”
-b: transmissão em “b” e recepção em “a”
93
Configurações da camada física 
• no radar 
escolhe o canal em que for encontrado 
o menor número de redes
• radar detect
1 minuto para entrar em operação no 
canal escolhido se não for detectada a 
ocupação do canal
• Obs.: O modo DFS é obrigatório no 
Brasil para as faixas de 5250
5350-5725
Configurações da camada física – DFS
no radar detect: escaneia o meio e 
escolhe o canal em que for encontrado 
o menor número de redes
detect: escaneia o meio e espera 
1 minuto para entrar em operação no 
canal escolhido se não for detectada a 
ocupação do canal
: O modo DFS é obrigatório no 
Brasil para as faixas de 5250-5250 e 
5725
94
Configurações da camada física 
• Proprietary
finalidade de dar compatibilidade com 
Centrino.
• WMM Support
– enabled: permite que o outro dispositivo use 
– required: requer que o outro dispositivo use 
– disabled: desabilita a função 
Configurações da camada física – Prop. Extensions e WMM 
Proprietary Extensions: Opção com a única 
finalidade de dar compatibilidade com chipsets
Support: QoS no meio físico(802.11e)
: permite que o outro dispositivo use wmm
: requer que o outro dispositivo use wmm
: desabilita a função wmm
95
Configurações da camada física 
Client tx rate / 
• Defaul AP TX Rate: Taxa máxima que o AP pode 
transmitir para cada um de seus clientes. 
Funciona para qualquer cliente.
• Default Client TX Rate: Taxa máxima que o 
cliente pode transmitir para o AP. Só funciona 
para clientes Mikrotik.
• Compression: Recurso de compressão em Hardware disponível 
em chipsets Atheros. Melhora o desempenho se o cliente possuir 
este recurso e não afeta clientes que não possuam o recurso. 
Porém este recurso é incompatível com criptografia.
Configurações da camada física – AP e 
rate / Compression
: Taxa máxima que o AP pode 
transmitir para cada um de seus clientes. 
: Taxa máxima que o 
cliente pode transmitir para o AP. Só funciona 
96
: Recurso de compressão em Hardware disponível 
. Melhora o desempenho se o cliente possuir 
este recurso e não afeta clientes que não possuam o recurso. 
Porém este recurso é incompatível com criptografia.
Configurações da camada física 
• A velocidade em uma rede wireless é 
definida pela modulação que os 
dispositivos conseguem trabalhar.
 Supported Rates: São as velocidades de 
dados entre o AP e os clientes.
 Basic Rates: São as velocidades que os 
dispositivos se comunicam 
independentemente do tráfego de dados 
(beacons, sincronismos, etc...)
Configurações da camada física – Data Rates
A velocidade em uma rede wireless é 
dispositivos conseguem trabalhar.
: São as velocidades de 
: São as velocidades que os 
independentemente do tráfego de dados 
97
Configurações da camada física 
• O ACK timeout é o tempo que um dispositivo wireless 
espera pelo pacote Ack que deve ser transmitido para 
confirmar toda transmissão wireless.
– Dynamic: O Mikrotik calcula dinamicamente o 
cliente mandando de tempos em tempos sucessivos pacotes 
com Ack timeouts diferentes e analisando as respostas.
– indoors: Valor constante para redes indoors.
– Pode-se também fixar valores manualmente.
Dispositivo 
“A”
Dados
ACK
Configurações da camada física – ACK
O ACK timeout é o tempo que um dispositivo wireless 
que deve ser transmitido para 
confirmar toda transmissão wireless.
: O Mikrotik calcula dinamicamente o Ack de cada 
cliente mandando de tempos em tempos sucessivos pacotes 
timeouts diferentes e analisando as respostas.
: Valor constante para redes indoors.
se também fixar valores manualmente.
98
Dispositivo 
“B”
Configurações da camada física 
• Tabela de valores referenciais para ACK Timeout
Obs.: Utilize a tabela somente para referência inicial. 
Configurações da camada física – ACK
Tabela de valores referenciais para ACK Timeout
99Obs.: Utilize a tabela somente para referência inicial. 
Ferramentas de Site 
• Escaneia o meio. 
Obs.: Qualquer operação de site 
conexões estabelecidas.
Ferramentas de Site Survey - Scan
Obs.: Qualquer operação de site survey causa queda das 
100
A -> Ativa
B -> BSS
P -> Protegida
R -> Mikrotik
N -> Nstreme
Ferramentas de Site Survey
• Mostra o uso das frequências
em todo o espectro para site 
survey conforme a banda 
selecionada no menu 
wireless.
Survey – Uso de frequências
frequências
em todo o espectro para site 
conforme a banda 
101
Interface wireless -
• Ferramenta de alinhamento com sinal sonoro
– Colocar o MAC do AP remoto no campo Filter
e Audio Monitor.
Rx Quality: Potência em dBm do último pacote recebido
Avg. Rx Quality: Potência média dos pacotes recebidos
Last Rx: Tempo em segundos do último pacote recebido
Tx Quality: Potência do último pacote transmitido
Last TX: Tempo em segundos do último pacote transmitido
Correct: Número de pacotes recebidos sem erro
- Alinhamento
Ferramenta de alinhamento com sinal sonoro
Filter MAC Address
do último pacote recebido
: Potência média dos pacotes recebidos
: Tempo em segundos do último pacote recebido
: Potência do último pacote transmitido
: Tempo em segundos do último pacote transmitido
102
Interface wireless Interface wireless - Sniffer
• Ferramenta para sniffar o 
ambiente wireless 
captando e decifrando 
pacotes.
• Muitoútil para detectar 
ataques do tipo deauth e 
monkey jack.
• Pode ser arquivado no 
próprio Mikrotik ou 
passado por streaming 
para outro servidor com 
protocolo TZSP.
103
Interface wireless 
• Com a ferramenta snooper é possível monitorar a carga de tráfego 
em cada canal por estação e por rede.
• Scaneia as frequências definidas em scan
Interface wireless - Snooper
é possível monitorar a carga de tráfego 
em cada canal por estação e por rede.
scan-list da interface
104
Interface wireless 
• Comportamento do protocolo ARP
enable: Aceita e responde requisições ARP.
disable: Não responde a requisições ARP. Clientes 
devem acessar através de tabelas estáticas.
proxy-arp: Passa seu próprio MAC quando há 
uma requisição para algum host interno ao 
roteador.
reply-only: Somente responde as requisições. 
Endereços vizinhos são resolvidos estaticamente.
Interface wireless - Geral
Comportamento do protocolo ARP
: Não responde a requisições ARP. Clientes 
Endereços vizinhos são resolvidos estaticamente.
105
Interface wireless – Modo de operação
• ap bridge: Modo de ponto de acesso. Repassa os 
wireless de forma transparente para a rede 
• bridge: O mesmo que o o modo “ap
somente um cliente.
• station: Modo cliente de um ap. Não pode ser colocado em 
bridge com outras interfaces.
Modo de operação
: Modo de ponto de acesso. Repassa os MACs do meio 
wireless de forma transparente para a rede cabeada.
ap bridge” porém aceitando 
: Modo cliente de um ap. Não pode ser colocado em 
106
Interface wireless – Modo de operação
• station pseudobridge: Estação que pode ser colocada em modo 
bridge, porém sempre passa ao AP seu próprio MAC.
• station pseudobridge clone: Modo idêntico ao anterior, porém 
passa ao AP um MAC pré determinado anteriormente.
• station wds: Modo estação que pode ser colocado em 
com a interface ethernet e que passa os 
transparente. É necessário que o AP esteja em modo wds. 
Modo de operação
: Estação que pode ser colocada em modo 
, porém sempre passa ao AP seu próprio MAC.
: Modo idêntico ao anterior, porém 
passa ao AP um MAC pré determinado anteriormente.
: Modo estação que pode ser colocado em bridge
com a interface ethernet e que passa os MACs de forma 
transparente. É necessário que o AP esteja em modo wds. 
107
Interface wireless – Modo de operação
• alignment only: Modo utilizado para efetuar alinhamento de 
antenas e monitorar sinal. Neste modo a interface wireless 
“escuta” os pacotes que são mandados a ela por outros 
dispositivos trabalhando no mesmo canal.
• wds slave: Adéqua suas configurações conforme outro AP com 
mesmo SSID.
• nstreme dual slave: Será visto no tópico especifico de 
Modo de operação
: Modo utilizado para efetuar alinhamento de 
antenas e monitorar sinal. Neste modo a interface wireless 
“escuta” os pacotes que são mandados a ela por outros 
dispositivos trabalhando no mesmo canal.
: Adéqua suas configurações conforme outro AP com 
: Será visto no tópico especifico de nstreme.
108
Interface wireless 
Com as interfaces virtuais podemos montar 
várias redes dando perfis de serviço diferentes
Name: Nome da rede virtual
MTU: Unidade máxima de transferência(bytes)
MAC: Endereço MAC do novo AP
ARP: Modo de operação do protocolo ARP
Obs.: As demais configurações são idênticas as de 
um AP.
Interface wireless – AP Virtual
Com as interfaces virtuais podemos montar 
várias redes dando perfis de serviço diferentes.
Name: Nome da rede virtual
MTU: Unidade máxima de transferência(bytes)
MAC: Endereço MAC do novo AP
ARP: Modo de operação do protocolo ARP
Obs.: As demais configurações são idênticas as de 
um AP.
109
Camada Física Camada Física - Wireless
• Como trabalha o CSMA?
– Redes ethernet 
tradicionais utilizam o 
método CSMA/CD 
(Colision Detection).
– Redes wireless 802.11 
utilizam o método 
CSMA/CA (Colision
Avoidance).
110
Protocolo Nstreme
• Enable Nstreme: Habilita o nstreme.
• Enable Polling: Habilita o mecanismo de 
• Disable CSMA: Desabilita o Carrier Sense
• Framer Limit: Tamanho máximo do pacote em bytes.

- Configuração
: Habilita o mecanismo de polling. Recomendado.
Sense. Recomendado.
: Tamanho máximo do pacote em bytes.
111
Framer Policy
 Dynamic size: O Mikrotik determina.
 Best fit: Agrupa até o valor em “Frame 
Limit” sem fragmentar.
 Exact Size: Agrupa até o valor em “Frame 
Limit” fragmentando se necessário.
Protocolo Nstreme Dual 
1 – Colocar a interface em modo 
“nstreme dual slave”.
2 – Adicionar uma interface Nstreme
Dual e definir quem será TX e quem 
será RX.
Obs.: Utilize sempre canais distantes.
Dual - Configuração
112
Protocolo Nstreme Dual 
3 – Verifique o MAC escolhido pela 
interface Nstreme e informe no lado 
oposto.
4 – Criar uma bridge e adicionar as 
interfaces ethernet e a interface 
Nstreme Dual
Práticas de RF recomendadas: 
Use antenas de qualidade, Polarizações diferentes, canais distantes e 
mantenha uma boa distância entre as antenas.
Dual - Configuração
113
Use antenas de qualidade, Polarizações diferentes, canais distantes e 
mantenha uma boa distância entre as antenas.
WDS & WDS MESHWDS & WDS MESH
114
WDS – WIRELESS DISTRIBUTION SYSTEM
• WDS é a melhor forma garantir uma grande área de 
cobertura wireless utilizando vários 
mobilidade sem a necessidade de re
Para tanto, todos os AP’s devem ter o mesmo SSID e mesmo 
canal.
WIRELESS DISTRIBUTION SYSTEM
WDS é a melhor forma garantir uma grande área de 
cobertura wireless utilizando vários APs e prover 
mobilidade sem a necessidade de re-conexão dos usuários. 
devem ter o mesmo SSID e mesmo 
115
WDS e o protocolo STP
• A “mágica” do wds só é possível por conta do protocolo STP. Para evitar o 
looping na rede é necessário habilitar o protocolo STP ou RSTP. Ambos 
protocolos trabalham de forma semelhante porém o RSTP é mais rápido.
• O RSTP inicialmente elege uma root bridge
search” que quando encontra um MAC pela primeira vez, torna o link ativo. Se 
encontra outra vez, torna o link desabilitado.
• Normalmente habilitar o RSTP já é suficiente para atingir os resultados. No 
entanto é possível interferir no comportamento padrão, modificando custos, 
prioridades e etc...
WDS e o protocolo STP
A “mágica” do wds só é possível por conta do protocolo STP. Para evitar o 
na rede é necessário habilitar o protocolo STP ou RSTP. Ambos 
protocolos trabalham de forma semelhante porém o RSTP é mais rápido.
bridge e utiliza o algoritmo “breadth-first
search” que quando encontra um MAC pela primeira vez, torna o link ativo. Se 
encontra outra vez, torna o link desabilitado.
Normalmente habilitar o RSTP já é suficiente para atingir os resultados. No 
entanto é possível interferir no comportamento padrão, modificando custos, 
116
WDS e o protocolo STP
Quanto menor a prioridade, maior a 
chance de ser eleita como 
Quando os custos são iguais é eleita a 
porta com prioridade mais baixa.
O custo da porta permite um caminho 
ser eleito em lugar do outro.
WDS e o protocolo STP
Quanto menor a prioridade, maior a 
chance de ser eleita como bridge root.
Quando os custos são iguais é eleita a 
porta com prioridade mais baixa.
O custo da porta permite um caminho 
ser eleito em lugar do outro.
117
WDS e o protocolo STP
• A Bridge usa o endereço MAC da porta ativa com menor número de porta.
• A porta wireless está ativa somente quando existem hosts conectados a ela.
• Para evitar que os MACs fiquem variando, é possível atribuir um MAC 
manualmente.
WDS e o protocolo STP
usa o endereço MAC da porta ativa com menor número de porta.
A porta wireless está ativa somente quando existem hosts conectados a ela.
fiquem variando,é possível atribuir um MAC 
118
WDS / WDS MESH
• WDS Mode
• dynamic: As interfaces wds são adicionada dinamicamente quando um 
dispositivo wds encontra outro compatível.
• static: As interfaces wds devem ser adicionadas manualmente apontando o 
MAC da outra ponta.
• (mesh): WDS com um algoritmo proprietário para melhoria do link. Só possui 
compatibilidade com outros dispositivos Mikrotik.
WDS / WDS MESH
• WDS Default Bridge: A bridge padrão para as 
interfaces wds.
• WDS Default Cost: Custo da porta bridge do 
link wds.
• WDS Cost Range: Margem de custo que pode 
ser ajustada com base no troughtput do link.
119
: As interfaces wds são adicionada dinamicamente quando um 
dispositivo wds encontra outro compatível.
: As interfaces wds devem ser adicionadas manualmente apontando o 
WDS com um algoritmo proprietário para melhoria do link. Só possui 
compatibilidade com outros dispositivos Mikrotik.
WDS / MESH
• Altere o modo de operação 
da wireless para: ap-bridge
WDS: Selecione o modo wds 
dynamic-mesh.
WDS Default Bridge: Selecione 
a bridge criada.
Obs:. Certifique-se que todos 
estão no canal 5180 e SSID: 
wds-lab.
WDS / MESH
• Altere o modo de operação 
da wireless para: ap-bridge
WDS: Selecione o modo wds 
dynamic-mesh.
WDS Default Bridge: Selecione 
a bridge criada.
Obs:. Certifique-se que todos 
estão no canal 5180 e SSID: 
wds-lab.
120
Interface Wireless – Controle de Acesso
• A Access List é utilizada pelo AP para restringir 
associações de clientes. Esta lista contem os endereços 
MAC de clientes e determina qual ação deve ser tomada 
quando um cliente tenta conectar. 
• A comunicação entre clientes da mesma interface, virtual 
ou real, também é controlada na Access 
Controle de Acesso
é utilizada pelo AP para restringir 
associações de clientes. Esta lista contem os endereços 
MAC de clientes e determina qual ação deve ser tomada 
quando um cliente tenta conectar. 
A comunicação entre clientes da mesma interface, virtual 
ou real, também é controlada na Access List.
121
Interface Wireless – Controle de Acesso
• O processo de associação ocorre 
da seguinte forma:
1. Um cliente tenta se associar a uma interface 
2. Seu MAC é procurado na access
3. Caso encontrado, a ação especifica será tomada:
 Authentication: Define se o cliente poderá se associar ou 
não;
 Fowarding: Define se os clientes poderão se comunicar.
Controle de Acesso
O processo de associação ocorre 
Um cliente tenta se associar a uma interface wlan;
access list da interface wlan;
Caso encontrado, a ação especifica será tomada:
Authentication: Define se o cliente poderá se associar ou 
: Define se os clientes poderão se comunicar. 122
Interface Wireless 
MAC Address: Endereço MAC a ser liberado 
ou bloqueado.
Interface: Interface real ou virtual onde será 
feito o controle de acesso.
AP Tx Limit: Limite de tráfego enviado para o 
cliente.
Client Tx Limit: Limite de tráfego enviado do 
cliente para o AP.
Private Key: Chave wep criptografada.
Private Pre Shared Key: Chave WPA.
Management Protection Key: Chave usada para evitar ataques de 
desautenticação. Somente compatível com outros 
Interface Wireless – Access List
: Endereço MAC a ser liberado 
: Interface real ou virtual onde será 
: Limite de tráfego enviado para o 
: Limite de tráfego enviado do 
123
: Chave usada para evitar ataques de 
. Somente compatível com outros Mikrotiks.
Interface Wireless 
• A Connect List tem a finalidade de listar
os APs que o Mikrotik configurado como
cliente pode se conectar.
MAC Address: MAC do AP a se conectar
SSID: Nome da rede
Area Prefix: String para conexão com AP de mesma área
Security Profile: Definido nos perfis de segurança.
Obs.: Essa é uma boa opção para evitar que o cliente se associe a um AP 
falso.
Interface Wireless – Connect List
tem a finalidade de listar
que o Mikrotik configurado como
: String para conexão com AP de mesma área
: Definido nos perfis de segurança.
: Essa é uma boa opção para evitar que o cliente se associe a um AP 
124
Segurança de Acesso em redes sem fioSegurança de Acesso em redes sem fio
125
Falsa segurança
• Nome da rede escondido:
– Pontos de acesso sem fio por padrão fazem 
o broadcast de seu SSID nos pacotes 
chamados “beacons”. Este comportamento 
pode ser modificado no Mikrotik 
habilitando a opção “Hide SSID”. 
• Pontos negativos:
– SSID deve ser conhecido pelos clientes
– Scanners passivos o descobrem facilmente 
pelos pacotes de “probe request
clientes.
Falsa segurança
Pontos de acesso sem fio por padrão fazem 
o broadcast de seu SSID nos pacotes 
”. Este comportamento 
pode ser modificado no Mikrotik 
SSID”. 
SSID deve ser conhecido pelos clientes
Scanners passivos o descobrem facilmente 
request” dos 
126
Falsa segurança
• Controle de MACs:
– Descobrir MACs que trafegam no ar é muito 
simples com ferramentas apropriadas e inclusive o 
Mikrotik como sniffer.
– Spoofar um MAC é bem simples. Tanto usando 
windows, linux ou Mikrotik.
Falsa segurança
que trafegam no ar é muito 
simples com ferramentas apropriadas e inclusive o 
um MAC é bem simples. Tanto usando 
ou Mikrotik.
127
Falsa segurança
• Criptografia WEP:
– “Wired Equivalent Privacy” – Foi o sistema de criptografia 
inicialmente especificado no padrão 802.11 e está baseado no 
compartilhamento de um segredo entre o ponto de acesso e os 
clientes, usando um algoritmo RC4 para a criptografia.
– Várias fragilidades da WEP foram reveladas ao longo do tempo e 
publicadas na internet, existindo várias ferramentas para quebrar 
a chave, como:
Airodump
Airreplay
Aircrack
• Hoje com essas ferramentas é bem simples quebrar a WEP.
Falsa segurança
Foi o sistema de criptografia 
inicialmente especificado no padrão 802.11 e está baseado no 
compartilhamento de um segredo entre o ponto de acesso e os 
clientes, usando um algoritmo RC4 para a criptografia.
Várias fragilidades da WEP foram reveladas ao longo do tempo e 
publicadas na internet, existindo várias ferramentas para quebrar 
Hoje com essas ferramentas é bem simples quebrar a WEP.
128
Evolução dos padrões de segurançaEvolução dos padrões de segurança
129
Fundamentos de Segurança
 Privacidade
As informações não podem ser legíveis para terceiros.
 Integridade
As informações não podem ser alteradas quando em transito.
 Autenticação
AP Cliente: O AP tem que garantir que o cliente é quem diz 
ser.
Cliente AP: O cliente tem que se certificar que está 
conectando no AP correto. Um AP falso possibilita o chamado 
ataque do “homem do meio”.
Fundamentos de Segurança
As informações não podem ser legíveis para terceiros.
As informações não podem ser alteradas quando em transito.
AP Cliente: O AP tem que garantir que o cliente é quem diz 
Cliente AP: O cliente tem que se certificar que está 
conectando no AP correto. Um AP falso possibilita o chamado 
130
Privacidade e Integridade
Tanto a privacidade como a integridade são garantidos 
por técnicas de criptografia.
 O algoritmo de criptografia de dados em WPA é o RC4, 
porém implementado de uma forma bem mais segura 
que na WEP. E na WPA2 utiliza
 Para a integridade dos dados WPA usa TKIP(Algoritmo 
de Hashing “Michael”) e WPA2 usa CCMP(
Chaining Message Authentication 
Privacidade e Integridade
Tanto a privacidade como a integridade são garantidos 
O algoritmo de criptografia de dados em WPA é o RC4, 
porém implementado de uma forma bem mais segura 
que na WEP. E na WPA2 utiliza-se o AES.
Para a integridade dos dados WPA usa TKIP(Algoritmo 
“Michael”) e WPA2 usa CCMP(Cipher
Authentication Check – CBC – MAC)
131
ChaveWPA e WPA2 
• A configuração da chave 
WPA/WAP2-PSK é muito simples 
no Mikrotik.
• Configure o modo de chave 
dinâmico e a chave pré-combinada 
para cada tipo de autenticação.
Obs.: As chaves são alfanuméricas de 
8 até 64 caracteres.
Chave WPA e WPA2 - PSK
combinada 
Obs.: As chaves são alfanuméricas de 
132
Segurança de WPA / WPA2
• Atualmente a única maneira conhecida para se quebrar a 
WPA-PSK é somente por ataque de dicionário.
• Como a chave mestra PMK combina uma contra
com o SSID, escolhendo palavras fortes torna o sucesso de 
força bruta praticamente impossível.
• A maior fragilidade paras os WISP’s
encontra em texto plano nos computadores dos clientes 
ou no próprio Mikrotik.
Segurança de WPA / WPA2
Atualmente a única maneira conhecida para se quebrar a 
PSK é somente por ataque de dicionário.
Como a chave mestra PMK combina uma contra-senha 
com o SSID, escolhendo palavras fortes torna o sucesso de 
força bruta praticamente impossível.
WISP’s é que a chave se 
encontra em texto plano nos computadores dos clientes 
133
Configurando EAP-TLS –
Crie o perfil EAP-TLS e associe a 
interface Wireless cliente.
– Sem Certificados
134
Segurança de EAP-TLS sem certificados
• O resultado da negociação anônima resulta em uma 
chave PMK que é de conhecimento exclusivo das duas 
partes. Depois disso toda a comunicação é 
criptografada por AES(WPA2) e o RC4(WPA).
• Seria um método muito seguro se não houvesse a 
possibilidade de um atacante colocar um Mikrotik com 
a mesma configuração e negociar a chave normalmente 
como se fosse um cliente.
• Uma idéia para utilizar essa configuração de forma 
segura é criando um túnel criptografado 
entre os equipamentos depois de fechado o enlace. 
TLS sem certificados
O resultado da negociação anônima resulta em uma 
chave PMK que é de conhecimento exclusivo das duas 
partes. Depois disso toda a comunicação é 
criptografada por AES(WPA2) e o RC4(WPA).
Seria um método muito seguro se não houvesse a 
possibilidade de um atacante colocar um Mikrotik com 
a mesma configuração e negociar a chave normalmente 
Uma idéia para utilizar essa configuração de forma 
segura é criando um túnel criptografado PPtP ou L2TP 
entre os equipamentos depois de fechado o enlace. 
135
Trabalhando com certificados
• Certificado digital é um arquivo que identifica de 
forma inequívoca o seu proprietário.
• Certificados são criados por instituições emissoras 
chamadas de CA (Certificate
• Os certificados podem ser:
– Assinados por uma instituição “acreditada” (
Thawte, etc...)
– Certificados auto-assinados.
Trabalhando com certificados
Certificado digital é um arquivo que identifica de 
forma inequívoca o seu proprietário.
Certificados são criados por instituições emissoras 
Certificate Authorities).
Os certificados podem ser:
Assinados por uma instituição “acreditada” (Verisign, 
assinados.
136
Passos para implementação de EAP
com certificados auto Assinados
1. Crie a entidade certificadora(CA)
2. Crie as requisições de Certificados
3. Assinar as requisições na CA
4. Importar os certificados assinados para os 
5. Se necessário, criar os certificados para máquinas 
windows
Passos para implementação de EAP-TLS 
com certificados auto Assinados
Crie a entidade certificadora(CA)
Crie as requisições de Certificados
Importar os certificados assinados para os Mikrotiks
Se necessário, criar os certificados para máquinas 
137
EAP-TLS sem Radius em ambos lados
• O método EAP
também pode ser 
usado com 
certificados.
em ambos lados
O método EAP-TLS 
também pode ser 
usado com 
certificados.
138
EAP-TLS sem Radius em ambos lados
• Metodos TLS
dont verify certificate: Requer um 
certificado, porém não verifica.
no certificates: Certificados são 
negociados dinamicamente com o 
algoritmo de Diffie Hellman.
verify certificate: Requer um 
certificado e verifica se foi assinado 
por uma CA.
em ambos lados
: Requer um 
certificado, porém não verifica.
: Certificados são 
negociados dinamicamente com o 
certificado e verifica se foi assinado 
139
WPAx com com radius
140
EAP-TLS com certificado
• EAP-TLS (EAP – Transport Layer
– O Mikrotik suporta EAP-TLS tanto como cliente como AP e 
ainda repassa esse método para um Servidor 
– Prover maior nível de segurança e necessita de certificados em 
ambos lados(cliente e servidor).
– O passo a passo completo para configurar um servidor 
pode ser encontrado em: 
http://under-linux.org/wiki/Tutoriais/Wireless/freeradius
mikrotik
TLS com certificado
Layer Security)
TLS tanto como cliente como AP e 
ainda repassa esse método para um Servidor Radius.
Prover maior nível de segurança e necessita de certificados em 
ambos lados(cliente e servidor).
O passo a passo completo para configurar um servidor Radius
linux.org/wiki/Tutoriais/Wireless/freeradius-
141
EAP-TLS com Radius
• A configuração da parte do 
cliente é bem simples.
– Selecione o método EAP-TLS
– Certifique-se que os 
certificados estão instalados 
e assinados pela CA.
– Associe o novo perfil de 
segurança a interface 
wireless correspondente.
em ambos lados
A configuração da parte do 
TLS
certificados estão instalados 
142
EAP-TLS com Radius
• No lado do AP selecione o 
método EAP “passthrough”.
• Selecione o certificado 
correspondente.
Obs.: Verifique sempre se o sistema está com o cliente NTP habilitado. Caso 
a data do sistema não esteja correta, poderá causar falha no uso de 
certificados devido a data validade dos mesmos.
em ambos lados
”.
143
Obs.: Verifique sempre se o sistema está com o cliente NTP habilitado. Caso 
a data do sistema não esteja correta, poderá causar falha no uso de 
certificados devido a data validade dos mesmos.
Segurança de EAP-TLS com 
• Sem dúvida este é o método mais seguro que podemos 
obter. Entretanto existe um ponto que podemos levantar 
como possível fragilidade:
– Se um atacante tem acesso físico ao link entre o AP e o 
ele pode tentar um ataque de força bruta para descobrir a 
PMK.
– Uma forma de proteger este trecho é usando um túnel L2TP.
TLS com Radius
Sem dúvida este é o método mais seguro que podemos 
obter. Entretanto existe um ponto que podemos levantar 
Se um atacante tem acesso físico ao link entre o AP e o Radius
ele pode tentar um ataque de força bruta para descobrir a 
Uma forma de proteger este trecho é usando um túnel L2TP.
144
Ponto de fragilidade
Resumo dos metodos
implantação e seus problemas.
WPA-PSK
Chaves presentes nos clientes e acessíveis aos operadores.
Método sem certificados
Passível de invasão por equipamento que também opere 
nesse modo.
Problemas com processador.
Mikrotik com Mikrotik com EAP
Método seguro porém inviável economicamente e de 
implantação praticamente impossível em redes existentes.
metodos de 
implantação e seus problemas.
Chaves presentes nos clientes e acessíveis aos operadores.
Passível de invasão por equipamento que também opere 
Problemas com processador.
Mikrotik com Mikrotik com EAP-TLS
Método seguro porém inviável economicamente e de 
implantação praticamente impossível em redes existentes.
145
Resumo dos métodos de 
implantação e seus problemas.
Mikrotik com Radius
EAP-TLS e EAP-PEAP:
Sujeito ao ataque do “homem do meio” e pouco disponível 
em equipamentos atuais.
EPA-TLS
Método seguro, porém também não disponível na 
maioria dos equipamentos. Em placas PCI é possível 
implementá-lo.
Resumo dos métodos de 
implantação e seus problemas.
Sujeito ao ataque do “homem do meio” e pouco disponível 
Método seguro, porém também não disponível na 
maioria dos equipamentos. Em placas PCI é possível146
Método alternativo com Mikrotik
• A partir da versão 3 o Mikrotik oferece a possibilidade de distribuir uma 
chave WPA2 PSK por cliente. Essa chave é configurada na Access 
e é vinculada ao MAC Address do cliente, possibilitando que cada um tenha 
sua chave.
Método alternativo com Mikrotik
A partir da versão 3 o Mikrotik oferece a possibilidade de distribuir uma 
chave WPA2 PSK por cliente. Essa chave é configurada na Access List do AP 
do cliente, possibilitando que cada um tenha 
147
Obs.: Cadastrando as PSK na access list, 
voltamos ao problema da chave ser visível a 
usuários do Mikrotik.
Método alternativo com Mikrotik
• Por outro lado, o Mikrotik permite que essas 
chaves sejam distribuídas por 
esse método muito interessante.
• Para isso é necessário:
– Criar um perfil WPA2 qualquer;
– Habilitar a autenticação via MAC no AP;
– Ter a mesma chave configurada tanto no cliente como 
no Radius.
Método alternativo com Mikrotik
Por outro lado, o Mikrotik permite que essas 
chaves sejam distribuídas por Radius, o que torna 
esse método muito interessante.
Criar um perfil WPA2 qualquer;
Habilitar a autenticação via MAC no AP;
Ter a mesma chave configurada tanto no cliente como 
148
Método alternativo com Mikrotik
• Configurando o perfil:
Método alternativo com Mikrotik
149
Configurando o 
Arquivo users: (/etc/freeradius)
#Sintaxe:
# MAC Cleartext-Password
# Mikrotik-Wireless
000C42000001 Cleartext-Password
Mikrotik-Wireless
000C42000002 Cleartext-Password
Mikrotik-Wireless
Configurando o Radius
Password:=“MAC”
Wireless-Psk = “Chave_Psk”
Password:=“000C42000001”
Wireless-Psk = “12341234”
Password:=“000C43000002”
Wireless-Psk = “2020202020ABC”
150
Corrigindo o dicionário de atributos
VENDOR Mikrotik 
ATTRIBUTE Mikrotik-Recv-Limit 1
ATTRIBUTE Mikrotik-Xmit-Limit
ATTRIBUTE Mikrotik-Group
ATTRIBUTE Mikrotik-Wireless-Forward
ATTRIBUTE Mikrotik-Wireless-Skip-Dot1x
ATTRIBUTE Mikrotik-Wireless-Enc-Algo
ATTRIBUTE Mikrotik-Wireless-Enc-Key
ATTRIBUTE Mikrotik-Rate-Limit
ATTRIBUTE Mikrotik-Realm
ATTRIBUTE Mikrotik-Host-IP
ATTRIBUTE Mikrotik-Mark-Id
ATTRIBUTE Mikrotik-Advertise-URL
ATTRIBUTE Mikrotik-Advertise-Interval
ATTRIBUTE Mikrotik-Recv-Limit-Gigawords 14
ATTRIBUTE Mikrotik-Xmit-Limit-Gigawords
ATTRIBUTE Mikrotik-Wireless-Psk
(/usr/share/freeradius/dictionary
Corrigindo o dicionário de atributos
14988
integer
2 integer
3 string
4 integer
5 integer
6 integer
7 string
8 string
9 string
10 ipaddr
11 string
12 string
13 integer
integer
15 integer
16 string
151
dictionary.mikrotik)
Firewall no MikrotikFirewall no Mikrotik
152
Firewall
• O firewall é normalmente usado como ferramenta de segurança para 
prevenir o acesso não autorizado a rede interna e/ou acesso ao roteador 
em si, bloquear diversos tipos de ataques e controlar o fluxo de dados de 
entrada, de saída e passante.
• Além da segurança é no firewall que serão desempenhadas diversas 
funções importantes como a classificação e marcação de pacotes para 
desenvolvimento de regras de QoS.
• A classificação do tráfego feita no firewall pode ser baseada em vários 
classificadores como endereços MAC, endereços IP, tipos de endereços IP, 
portas, TOS, tamanho do pacotes, etc...
Firewall
O firewall é normalmente usado como ferramenta de segurança para 
prevenir o acesso não autorizado a rede interna e/ou acesso ao roteador 
em si, bloquear diversos tipos de ataques e controlar o fluxo de dados de 
Além da segurança é no firewall que serão desempenhadas diversas 
funções importantes como a classificação e marcação de pacotes para 
A classificação do tráfego feita no firewall pode ser baseada em vários 
classificadores como endereços MAC, endereços IP, tipos de endereços IP, 
portas, TOS, tamanho do pacotes, etc...
153
Firewall - Opções
 Filter Rules: Regras para filtro de pacotes.
 NAT: Onde é feito a tradução de endereços e portas.
 Mangle: Marcação de pacotes, conexão e roteamento.
 Service Ports: Onde são localizados os NAT 
 Connections: Onde são localizadas as conexões existentes.
 Address List: Lista de endereços ips inseridos de forma dinâmica ou estática e 
que podem ser utilizadas em várias partes do firewall.
 Layer 7 Protocols: Filtros de camada 7.
Opções
: Regras para filtro de pacotes.
: Onde é feito a tradução de endereços e portas.
: Marcação de pacotes, conexão e roteamento.
: Onde são localizados os NAT Helpers.
: Onde são localizadas as conexões existentes.
inseridos de forma dinâmica ou estática e 
que podem ser utilizadas em várias partes do firewall.
154
Firewall – Canais default
• O Firewall opera por meio de regras. Uma regra é uma 
expressão lógica que diz ao roteador o que fazer com 
um tipo particular de pacote.
• Regras são organizadas em canais(
canais “default”.
– INPUT: Responsável pelo tráfego que 
– OUTPUT: Responsável pelo tráfego que 
– FORWARD: Responsável pelo tráfego que 
Canais default
O Firewall opera por meio de regras. Uma regra é uma 
expressão lógica que diz ao roteador o que fazer com 
um tipo particular de pacote.
Regras são organizadas em canais(chain) e existem 3 
: Responsável pelo tráfego que CHEGA no router;
: Responsável pelo tráfego que SAI do router;
: Responsável pelo tráfego que PASSA pelo router.
155
Firewall – Fluxo de pacotes
• Para maiores informações acesse:
http://wiki.mikrotik.com/wiki/Manual:Packet_Flow
Interface de 
Entrada
Filtro Forward
Processo Local IN
Filtro Input
Decisão de 
Roteamento
Fluxo de pacotes
Packet_Flow
156
Interface de 
Saida
Forward
Processo Local 
OUT
Filtro Output
Decisão de 
Roteamento
Firewall – Princípios gerais
1. As regras de firewall são sempre processadas por canal, 
na ordem que são listadas de cima pra baixo.
2. As regras de firewall funcionam como expressões lógicas 
condicionais, ou seja: “se <condição> então <ação>”.
3. Se um pacote não atende TODAS 
ele passa para a regra seguinte.
Princípios gerais
As regras de firewall são sempre processadas por canal, 
na ordem que são listadas de cima pra baixo.
As regras de firewall funcionam como expressões lógicas 
condicionais, ou seja: “se <condição> então <ação>”.
TODAS condições de uma regra, 
ele passa para a regra seguinte.
157
Firewall – Princípios gerais
4. Quando um pacote atende 
regra, uma ação é tomada com ele não importando 
as regras que estejam abaixo nesse canal, pois elas 
não serão processadas.
5. Algumas exceções ao critério acima devem ser 
consideradas como as ações de: “
“add to address list”.
6. Um pacote que não se enquadre em qualquer regra 
do canal, por padrão será aceito.
Princípios gerais
Quando um pacote atende TODAS as condições da 
regra, uma ação é tomada com ele não importando 
as regras que estejam abaixo nesse canal, pois elas 
Algumas exceções ao critério acima devem ser 
consideradas como as ações de: “passthrough”, log e 
Um pacote que não se enquadre em qualquer regra 
do canal, por padrão será aceito.
158
Firewall – Filters
• As regras de filtro pode ser organizadas e 
mostradas da seguinte forma:
– all: Mostra todas as regras.
– dynamic: Regras criadas dinamicamente por serviços.
– forward, input output: Regras referente a cada canal.
– static: Regras criadas estaticamente pelos usuários.
Filters Rules
As regras de filtro pode ser organizadas e 
mostradas da seguinte forma:
: Regras criadas dinamicamente por serviços.
: Regras referente a cada canal.
: Regras criadas estaticamente pelos usuários.
159
Firewall – Filters
 Algumas ações