MTCNA - Apostila

Prévia do material em texto

Treinamento oficial Mikrotik
Modulo MTCNA
(MikroTik Certified Network Associate)
Agenda
�Treinamento das 08:30hs às 18:30hs
�Coffe break as 16:00hs
�Almoço as 12:30hs – 1 hora de duração
1- Introdução 2
Importante
�Curso oficial: Proibido ser filmado ou gravado.
�Celular: Desligado ou em modo silencioso.
�Perguntas: Sempre bem vindas.
� Internet: Evite o uso inapropriado.
�Aprendizado: Busque absorver conceitos.
�Evite conversas paralelas. 
�Deixe habilitado somente a interface ethernet de 
seu computador.
1- Introdução 3
Apresente-se a turma
�Diga seu nome.
�Com que trabalha.
�Seu conhecimento sobre o RouterOS.
�Seu conhecimento com redes.
1- Introdução 4
Objetivos do curso
�Abordar todos os tópicos necessários para o 
exame de certificação MTCNA.
�Prover um visão geral sobre o Mikrotik 
RouterOS e as RouterBoards.
�Fazer uma abordagem simples e objetiva com 
a maioria das ferramentas que o Mikrotik 
RouterOS dispõe para prover boas soluções.
1- Introdução 5
Onde está a Mikrotik ?
�Mikrotik(MK): Empresa
�Roterboard(RB):Hardware
�RouterOS(ROS): Software
1- Introdução 6
Oque são Routerboards?
� Hardware criado pela Mikrotik.
� Atende desde usuários domésticos até grandes empresas.
� Hardware relativamente barato se comparado com outros 
fabricantes.
1- Introdução 7
Nomenclatura das routerboards
1- Introdução 8
RB 450
Serie 400
5 interfaces ethernet
0 ou nenhuma wireless
RB 433
Serie 400
3 interfaces ethernet
3 slots p/ wireless
RouterOS
� RouterOS além de estar disponível para Routerboards 
também pode ser instalado em hardware x86.
� RouterOS é o sistema operacional das Routerboards e que 
pode ser configurado como:
� Roteador
� Controlador de conteúdo (Web-proxy)
� Controlador de banda (Queues)
� Controlador de fluxo para QoS(Firewall mangle + Queues)
� Firewall (camada 2,3 e 7)
� Access Point wireless 802.11a/b/g/n (o hardware deve possuir 
wlan)
� Outros 
1- Introdução 9
Winbox
�Winbox é uma utilitário usado para acessar o 
RouterOS via MAC ou IP.
�Usuário padrão é “admin” e senha vazio.
1- Introdução 10
Primeiros passos
�Conecte o cabo de rede na interface 3 da 
routerboard e ligue ao seu computador.
�Caso você não tenha o utilitário winbox no seu 
computador faça o seguinte:
– Altere seu computador para “Obter endereço IP 
automaticamente”.
– Abra o navegador e digite 192.168.88.1.
– No menu a esquerda clique na ultima opção (logout).
– Agora na pagina de login , clique sobre o aplicativo 
winbox e salve no seu computador.
1- Introdução 11
Resetando seu router
�Abra o winbox clique em 
�Clique no endereço MAC ou IP.
�No campo Login coloque “admin”.
�No campo Password deixe em branco.
�Clique em connect.
�Nos Menus a esquerda clique em “New Terminal”.
�Com terminal aberto digite:
– system reset-configuration no-defaults=yes
Dica: Ao digitar comandos no terminal use a tecla [TAB] para auto completar. 
1- Introdução 12
Identificando seu roteador
1- Introdução 13
Diagrama da rede
1- Introdução 14
� Lembre-se de seu número: XY
Configuração básica
�Configurando endereço de IP
�Configurando mascara de sub-rede
�Configurando DNS
�Conectando seu router a um ponto de acesso
�Configurando seu computador
�Realizando testes de conectividade
1- Introdução 15
Configuração do roteador
�Adicione os IPs nas interfaces
1- Introdução 16
Configuração do roteador
�Adicione a rota padrão
1- Introdução 17
Configuração do roteador
� Adicione o servidor DNS
� Quando você checa a opção “Alow remote requests”, você 
está habilitando seu router como um servidor de DNS.
1- Introdução 18
Configuração do roteador
�Configuração da interface wireless
1- Introdução 19
MNDP
MikroTik Neighbor Discovery protocol
�Habilite a interface wlan em Discovery 
Interface
1- Introdução 20
Configure seu Notebook
1- Introdução 21
Teste de conectividade
� Pingar a partir da Routerboard o seguinte ip:172.25.X.254.
� Pingar a partir da Routerboard o seguinte endereço:
www.uol.com 172.25.255.254
� Pingar a partir do notebook o seguinte ip:
10.X.Y.1
� Pingar a partir do notebook o seguinte endereço: 
www.uol.com
� Analisar os resultados.
1- Introdução 22
Corrigir o problema de conectividade
�Diante do cenário apresentado quais soluções
podemos apresentar?
�Adicionar rotas estáticas.
�Utilizar protocolos de roteamento dinâmico.
�Utilizar NAT(Network Address Translation).
1- Introdução 23
Utilização do NAT
� O mascaramento é a técnica que permite que vários 
hosts de uma rede compartilhem um mesmo endereço 
IP de saída do roteador. No Mikrotik o mascaramento é 
feito através do Firewall na funcionalidade do NAT.
� Todo e qualquer pacote de dados de uma rede possui 
um endereço IP de origem e destino. Para mascarar o 
endereço, o NAT faz a troca do endereço IP de origem. 
Quando este pacote retorna ele é encaminhando ao 
host que o originou.
1- Introdução 24
Adicionando uma regra de source nat
�Adicionar uma regra de NAT, mascarando as 
requisições que saem pela interface wlan1.
1- Introdução 25
Teste de conectividade
�Efetuar os testes de ping a partir do notebook.
�Analisar os resultados.
�Efetuar os eventuais reparos.
�Após a confirmação de que tudo está 
funcionando, faça o backup da routerboard e 
armazene-o no notebook. Ele será usado ao 
longo do curso.
1- Introdução 26
Faça um backup
� Clique no menu Files e depois em Backup para salvar 
sua configurações.
� Arraste o arquivo que foi gerado para seu computador.
1- Introdução 27
Instalação do RouterOS
Porque é importante saber instalar o 
RouterOS?
� Necessário quando se deseja utilizar um hardware próprio.
� Assim como qualquer S.O. o RouterOS também pode 
corromper o setor de inicialização (geralmente causado por 
picos elétricos).
� Necessário quando se perde o usuário e senha de acesso ao 
sistema.
1- Introdução 28
Instalação do RouterOS
� Assim como qualquer sistema operacional o RouterOS precisa 
ser instalado(em routerboards já vem instalado por padrão) , 
as duas principais maneiras de instalar o ROS são:
�ISO botável (imagem) 
�Via rede utilizando o Netinstall
1- Introdução 29
Download
http://www.mikrotik.com/download
1- Introdução 30
Download
� No link acima você pode fazer o download das imagens ISO ou 
do arquivo contendo todos os pacotes. 
� Sempre ao fazer o download fique atento a arquitetura de 
hardware (mipsbe, mipsle,x86).
� Obs: Nunca instale versões de teste em roteadores em 
produção sempre selecione versões estáveis.
1- Introdução 31
Instalando pela ISO
� Em caso de você estar utilizando uma maquina física grave a 
ISO em um CD e ajuste a sequencia de boot para CD/DVD.
1- Introdução 32
Instalando via netinstall em 
routerboards
� Para se instalar em uma Routerboard, inicialmente 
temos que entrar na routerboard via cabo serial e 
alterar a sequencia de inicialização para ethernet 
(placa de rede).
� Dentro da Routerboad temos um tutorial 
completo de como instalar o RouterOS em 
Routerboards.
1- Introdução 33
Pacotes do RouterOS
� System: Pacote principal contendo os serviços básicos e drivers. A rigor é o único 
que é obrigatório.
� PPP: Suporte a serviços PPP como PPPoE, L2TP, PPTP, etc..
� DHCP: Cliente, Relay e Servidor DHCP.
� Advanced-tools: Ferramentas de diagnóstico, netwatch e outros utilitários.
� HotSpot: Suporte a HotSpot.
� NTP: Servidor de horário oficial mundial.
� IPv6: Suporte a endereçamento IPv6
� MPLS: Suporte a MPLS
� Routing: Suporte a roteamento dinâmico.
� Security : IPSEC, SSH, Secure WinBox.
Não é possível adicionar drivers ou qualquer outro tipo de pacote que não seja criado 
diretamente pela Mikrotik.
1- Introdução 34
Gerenciando pacotes
�Você pode habilitar e desabilitar pacotes em:
1- Introdução 35
Primeiro acesso
� Por padrão o processo de instalação não atribui nenhum 
endereço de IP ao router então o primeiro acesso pode 
ser feito por:
�Cabo serial (linha de comando)
�Teclado e monitorem x86 (linha de comando)
�Via mac-telnet (linha de comando)
�Winbox via MAC (interface gráfica)
1- Introdução 36
Mac-telnet
1- Introdução 37
Outros modos de acesso
�Após configurar um endereço de IP no 
RouterOS existem outros modos de acesso.
�SSH
�FTP
�Telnet
�Web
1- Introdução 38
SSH e telnet
1- Introdução 39
FTP
�Usado para transferir arquivos.
1- Introdução 40
WEB
�O acesso via web traz quase todas as funções 
existentes no winbox.
1- Introdução 41
Upgrade do RouterOS
�Faça download de Upgrade package (.npk).
�Arraste para dentro de Files no winbox e 
reinicie seu router.
4
2
1- Introdução 42
Atualizando a RB
� Confira a versão atual.
� Faça download do pacote .npk.
� Envie o pacote para sua Routerboard usando o
winbox ou via FTP.
� Reinicie o roteador.
� Confira se a nova versão foi instalada.
� Novas versões estão disponíveis no site.
http://www.mikrotik.com/download
4
3
1- Introdução 43
� Certifique se que sua routerboard tem conectivade 
com a internet.
� Cliquem em System=> Packages=> Check for Updates
1- Introdução 44
Atualizando a RB
Upgrade de firmware
�Para fazer upgrade de firmware clique em:
1- Introdução 45
Níveis de licença
� O RouterOS trabalha com níveis de licença isso significa que 
cada nível lhe oferece um numero X de recursos.
� Quanto a atualização de versão
L3/4 = versão atual + 1 = pode ser usada
L5/6 = versão atual + 2 = pode ser usada
� A chave de licença é gerada sobre um software-id fornecido 
pelo sistema.
� A licença fica vinculada ao HD ou Flash e/ou placa mãe.
� A formatação com outras ferramentas muda o software-id 
causa a perda da licença.
1- Introdução 46
Níveis de licença
1- Introdução 47
NTP
�As routerboard não tem fonte de alimentação 
interna, logo toda vez que é reiniciada o
sistema perde a data e a hora, isso vem a ser
um grande problema quando é necessário
analisar os logs.
�Para que seu equipamento fique 
sempre com a data e hora correta 
devemos usar o cliente NTP 
(Network time protocol).
1- Introdução 48
Configurando Cliente NTP
1- Introdução 49
Ajustando fuso horário
1- Introdução 50
Backup
�Existem duas maneiras de se realizar backup do 
sistema:
�Backup comum = Salva todo o conteúdo do router em 
um arquivo criptografado que não pode ser 
editado(salva inclusive os usuários e senhas de login 
no router).
�Backup com comando export = Você pode exportar 
um backup completo ou apenas uma parte. Com esse 
tipo de backup o arquivo gerado não é criptografado e 
pode ser aberto por qualquer editor de texto(não 
exporta dados de usuários e senhas de login no 
router).
1- Introdução 51
Backup comum
� Observe que o arquivo gerado recebe o
identificação do router mais as informações de
data e hora.
1- Introdução 52
Backup pelo comando export
� Para exportar as configurações para dentro de um 
arquivo use opção “file” e dê um nome ao arquivo e 
sempre use a opção “compact” para que seu arquivo 
venha apenas com as informações necessárias(evita 
exporta mac-address de um equipamento para outro).
1- Introdução 53
Localizando e editando backup
Após o comando 
“export file=bkp_router_XY compact”
O arquivo gerado está no menu files.
Após transferir o arquivo para
sua maquina ele poderá ser 
editado pelo bloco de notas.
1- Introdução 54
Backup
�Faça os dois tipos de backup.
�Arraste os dois backups para seu computador 
e tente abrir com o bloco de notas e observe o 
resultado
�Agora acesse o link abaixo e faça o upload do 
arquivo de backup criptografado.
http://mikrotikpasswordrecovery.com/
1- Introdução 55
Modo seguro
� O Mikrotik permite o acesso ao sistema através do “modo seguro”. 
Este modo permite desfazer as configurações modificadas caso a 
sessão seja perdida de forma automática. Para habilitar o modo 
seguro pressione “CTRL+X” ou na parte superior clique em Safe 
Mode.
1- Introdução 56
Modo seguro
� Se um usuário entra em modo seguro, quando já há 
um nesse modo, a seguinte mensagem será dada:
“Hijacking Safe Mode from someone – unroll/release/
– u: desfaz todas as configurações anteriores feitas em modo 
seguro e põe a presente sessão em modo seguro
– d: deixa tudo como está
– r: mantém as configurações no modo seguro e põe a 
sessão em modo seguro. O outro usuário receberá a 
seguinte mensagem:
“Safe Mode Released by another user”
1- Introdução 57
Dúvidas e perguntas ?
1- Introdução 58
Modelo OSI, TCP/IP
e
protocolos
2 - OSI, TCP/IP e protocolos 59
Um pouco de historia
�1962 – Primeiras comunicações em rede.
�1965 – Primeira comunicação WAN.
�1969 – Desenvolvido o TCP.
�1978 – Vários padrões de comunicação.
�1981 – Inicio de discussões sobre padronizações.
�1984 – Chegada do modelo OSI
2 - OSI, TCP/IP e protocolos 60
Siglas
ISO - International Organization for Standardization
OSI - Open Systems Interconnection
Modelo OSI vs TCP/IP
2 - OSI, TCP/IP e protocolos 61
Modelo OSI Modelo TCP/IP
Modelo usado para estudos Modelo usado na prática
Um pouco mais sobre o modelo OSI
2 - OSI, TCP/IP e protocolos 62
Cabeçalho possui MAC de origem e destino
Cabeçalho possui IP de origem e destino
Cabeçalho possui porta (TCP/UDP) de origem e destino
� Os dados são gerados na camada de aplicação, e a partir 
de então serão encapsulados camada por camada até 
chegar a camada física onde serão transformados em 
sinais (elétricos ,luminosos etc...)
� Em cada camada são adicionados cabeçalhos. Veja abaixo 
os tipos de informações que são imputadas em cada
cabeçalho.
Encapsulamento
2 - OSI, TCP/IP e protocolos 63
Dados Camada 2 enlace - MAC
Dados Camada 7 aplicação - Dados
Dados Camada 4 transporte - Portas
Dados Camada 3 rede - IP
PDU - Protocol data unit
�Protocol data unit ou em português Unidade de 
dados de protocolo em telecomunicações 
descreve um bloco de dados que é transmitido 
entre duas instâncias da mesma camada.
2 - OSI, TCP/IP e protocolos 64
Camada PDU
Camada física Bit
Camada de enlace Quadro ou trama
Camada de rede Pacote
Camada de transporte Segmento
1 - Camada física
�A camada física define as características técnicas 
dos dispositivos elétricos.
�É nesse nível que são definidas as especificações 
de cabeamento estruturado, fibras ópticas, etc... 
�Banda, frequência e potencia são grandeza que 
podemos alterar diretamente na camada 1.
2 - OSI, TCP/IP e protocolos 65
2 - Camada de enlace
� Camada responsável pelo endereçamento físico, 
controle de acesso ao meio e correções de erros da 
camada I.
� Endereçamento físico se faz pelos endereços MAC 
(Controle de Acesso ao Meio) que são únicos no 
mundo e que são atribuídos aos dispositivos de rede.
� Switchs, bridges ,ethernets e PPP são exemplos de 
dispositivos que trabalham em camada II.
2 - OSI, TCP/IP e protocolos 66
Endereço MAC
�É o único endereço físico de um dispositivo de 
rede.
�É usado para comunicação com a rede local.
�Exemplo de endereço MAC:
00:0C:42:00:00:00
2 - OSI, TCP/IP e protocolos 67
3 - Camada de rede
�Responsável pelo endereçamento lógico dos 
pacotes.
�Determina que rota os pacotes irão seguir para 
atingir o destino baseado em fatores tais como 
condições de tráfego de rede e prioridade.
2 - OSI, TCP/IP e protocolos 68
4 - Camada de transporte
�Quando no lado do remetente, é responsável por 
pegar os dados das camadas superiores e dividir 
em pacotes para que sejam transmitidos para a 
camada de rede.
�No lado do destinatário, pega os pacotes 
recebidos da camada de rede, remonta os dados 
originais e os envia para à camada superior.
�Estão na camada IV: TCP, UDP, RTP
2 - OSI, TCP/IP e protocolos 69
Estado das conexões
2 - OSI, TCP/IP e protocolos 70
� É possível observar o estado das conexões no Mikrotik no menu Connections 
(IP=>Firewall=>Connections).
� Essa tabela também é conhecida como conntrack. Muito utilizada para analises 
e debugs rápidos.
5 - Camada de sessão
�Administra e sincroniza diálogos entre dois 
processos de aplicação.�Une duas entidades para um relacionamento 
e mais tarde as desune. (ex. de união: 
login/autenticação e desunião: logoff).
�Controla troca de dados, delimita e sincroniza 
operações em dados entre duas entidades.
2 - OSI, TCP/IP e protocolos 71
6 - Camada de apresentação
�A principal função da camada de apresentação é 
assegurar que a informação seja transmitida de tal 
forma que possa ser entendida e usada pelo 
receptor.
�Este nível pode modificar a sintaxe da mensagem, 
sempre preservando sua semântica.
�O nível de apresentação também é responsável por 
outros aspectos da representação dos dados, como 
criptografia e compressão de dados.
2 - OSI, TCP/IP e protocolos 72
7 - Camada de aplicação
�Muito confundem aplicação com aplicativo.
�Usuário interagem com o aplicativo e o 
aplicativo interage com protocolos da camada 
de aplicação( HTTP, SMTP, FTP, SSH, Telnet ...).
2 - OSI, TCP/IP e protocolos 73
HTTP
HTTPS
DNS
Protocolos
2 - OSI, TCP/IP e protocolos 74
Endereço IP
�É o endereço lógico de um dispositivo de rede.
�É usado para comunicação entre redes.
�Endereço IPv4 é um numero de 32 bits divido 
em 4 parte separado por pontos.
�Exemplo de endereço IP: 200.200.0.1.
2 - OSI, TCP/IP e protocolos 75
Sub Rede
� Como o próprio no já diz (sub rede)é a uma parte de rede ou seja uma rede que foi 
dividida.
� O tamanho de uma sub rede é determinado por sua máscara de sub rede.
� O endereço de IP geralmente é acompanhado da mascara de sub rede.
� Com esses dois dados (Endereço IP e mascara de sub rede) podemos dimensionar onde 
começa e onde termina nossa sub rede.
� Exemplo de mascara de sub rede: 255.255.255.0 ou /24.
� O endereço de REDE é o primeiro IP da sub rede.
� O endereço de BROADCAST é o último IP da sub rede.
� Esses endereços(Rede e broadcast) são reservados e não podem ser usados.
2 - OSI, TCP/IP e protocolos 76
End IP/Mas 10.1.2.3/8 10.1.2.3/16 10.1.2.3/24
End de Rede 10.0.0.0 10.1.0.0 10.1.2.0
End de Broadcast 10.255.255.255 10.1.255.255 10.1.2.255
Protocolos - IP
�Usado para identificar logicamente um host.
�Possui endereços públicos e privados.
�Possui duas versões IPv4 (quase esgotado) e IPv6.
2 - OSI, TCP/IP e protocolos 77
Endereçamento CIDR
2 - OSI, TCP/IP e protocolos 78
Protocolos - ARP
� ARP – Address resolution protocol ou simplesmente
protocolo de resolução de endereços.
� Como o próprio nome sugere esse protocolo consegue
resolver(encontrar) o endereço MAC através do 
endereço de IP e após feito isto o coloca em uma 
tabela. 
2 - OSI, TCP/IP e protocolos 79
Como ARP funciona
� Quando o dispositivo H1 precisa enviar dados para H2 que está no
mesmo segmento de rede , o dispositivo H1 precisa descobrir o
endereço MAC de H2.Então o protocolo ARP envia uma requisição para
todos os diapositivos(MSG-01).
� Então o host que com endereço de IP apropriado(H2) responde com o 
dado solicitado (MSG-02).
� Então o dispositivo H1 recebe o endereço MAC e se prepara para o 
próximo passo para transmitir dados para H2.
10.11.11.2/24
00:00:00:11:11:02
10.11.11.1/24
00:00:00:11:11:01
10.11.11.3/24
00:00:00:11:11:03
MSG-01 
Quero saber o 
MAC do host 
com IP 
10.11.11.2
MSG-02 
Sou eu e meu MAC 
é 00:00:00:11:11:02
2 - OSI, TCP/IP e protocolos 80
Protocolos - UDP / TCP
2 - OSI, TCP/IP e protocolos 81
UDP TCP
Serviço sem conexão; nenhuma sessão é 
estabelecida entre os hosts.
Serviço orientado por conexão; uma sessão 
é estabelecida entre os hosts.
O UDP não garante ou confirma a entrega 
nem sequencia os dados.
O TCP garante a entrega usando 
confirmações e entrega sequenciada dos 
dados.
O UDP é rápido, requer baixa sobrecarga e 
pode oferecer suporte à comunicação 
ponto a ponto e de ponto a vários pontos.
O TCP é mais lento, requer maior 
sobrecarga e pode oferecer suporte apenas 
à comunicação ponto a ponto.
Protocolos - ICMP
� Internet Control Message Protocol ou protocolo de 
mensagens de controle da Internet é usado para relatar 
erros e trocar informações de status e controle.
� Geralmente usamos aplicativos que utilizam o protocolo 
ICMP para sabermos se um determinado host esta 
alcançável e/ou qual é a rota para aquele host(ping e 
tracert). 
2 - OSI, TCP/IP e protocolos 82
Protocolos - DNS
� Domain Name System - Sistema de Nomes de 
Domínios é utilizado para associar nomes a 
números e vice-versa.
2 - OSI, TCP/IP e protocolos 83
DHCP
2 - OSI, TCP/IP e protocolos 84
2 - OSI, TCP/IP e protocolos 85
Perguntas ?
Wireless no Mikrotik
5 - Wireless 86
Conceitos 802.11a/b/g/n
�Nas interfaces wireless podemos alterar 
alguns campos que irão definir caracterizas 
físicas da transmissão:
Banda Frequência Largura de Canal
5 - Wireless 87
Configurações Físicas
5 - Wireless 88
Padrão IEEE Frequência Largura de 
banda máxima
Velocidade máx
802.11b 2.4Ghz 20Mhz 11 Mbps
802.11g 2.4Ghz 20Mhz 54 Mbps
802.11a 5Ghz 20Mhz 54 Mbps
802.11n 2.4Ghz e 5 Ghz 40Mhz 300 Mbps
802.11ac 5 Ghz 80Mhz 866 Mbps
802.11b - DSSS
5 - Wireless 89
1
2412
2
2422
3
2432
4
2442
5
2452
6
2462
2402 2422 2402 2422 2402 2422 2402 2422
+
20Mhz
Canais não interferentes em
2.4 Ghz - DSSS
5 - Wireless 90
Canalização – 5Mhz e 10Mhz
5 - Wireless 91
� Menor troughput
� Maior número de canais
� Menor vulnerabilidade a interferências
� Requer menor sensibilidade
� Aumenta o nível de potência de tx
Canalização – Modo Turbo
5 - Wireless 92
� Maior troughput
� Menor número de canais
� Maior vulnerabilidade a interferências
� Requer maior sensibilidade
� Diminui o nível de potência de tx
Padrão 802.11n
5 - Wireless 93
� MIMO
� Velocidades do 802.11n
� Bonding do canal
� Agregação dos frames
� Configuração dos cartões
� Potência de TX em cartões N
MIMO
5 - Wireless 94
�MIMO: Multiple Input and Multiple Output
802.11n - Velocidades nominais
5 - Wireless 95
802.11n - Bonding dos canais 2 x 
20Mhz
5 - Wireless 96
�Adiciona mais 20Mhz ao canal existente.
�O canal é colocado abaixo ou acima da 
frequência principal.
�É compatível com os clientes “legados” de 
20Mhz.
�Conexão feita no canal principal.
�Permite utilizar taxas maiores.
Configurando no Mikrotik
5 - Wireless 97
� Quando se utiliza 2 canais ao mesmo tempo, a potência de transmissão é
dobrada.
Tabela de potência
1- Introdução 98
Potências
5 - Wireless 99
� Quando a opção “regulatory domain” está habilitada, somente as frequências
permitidas para o país selecionado em “Country” estarão disponíveis. Além disso o
Mikrotik ajustará a potência do rádio para atender a regulamentação do país,
levando em conta o valor em dBi informado em “Antenna Gain”.
� Para o Brasil esses ajustes só foram corrigidos a partir da versão 3.13.
RX sensitivity
1- Introdução 100
� Refere a capacidade de “escuta” de cada equipamento.
� Quanto menor melhor, pois o equipamento será capaz enlaçar com outro dispositivo
com pouco sinal.
� Deve sempre ser observado na hora de fazer escolhas de equipamentos
Data Rates
5 - Wireless 101
� A velocidade em uma rede wireless é definida pela modulação que os dispositivos 
conseguem trabalhar.
� Supported Rates: São as velocidades de dados entre o AP e os clientes.
� Basic Rates: São as velocidades que os dispositivos se comunicam independentemente 
do tráfego de dados (beacons, sincronismos, etc...)
Ferramentas de Site Survey - Scan
5 - Wireless 102
� Escaneia o meio. Obs.: Qualquer operação de site survey causa queda das 
conexões estabelecidas.
A -> Ativa
B -> BSS
P -> Protegida
R -> Mikrotik
Ferramentas de Site Survey – Uso de 
frequências
5 - Wireless 103
�Mostra o uso das frequências 
em todo o espectro para site 
survey conforme a banda 
selecionada no menu 
wireless.
Interface wireless - Sniffer
5 - Wireless 104
� Ferramenta para sniffar
o ambiente wireless 
captando e decifrando 
pacotes.
� Muito útil para detectar 
ataques.
� Pode ser arquivado no 
próprio Mikrotik ou 
passado por streaming 
para outro servidor 
com protocoloTZSP.
Interface wireless - Snooper
5 - Wireless 105
� Com a ferramenta snooper é possível monitorar a 
carga de tráfego em cada canal por estação e por rede.
� Scaneia as frequências definidas em scan-list da 
interface.
Interface wireless – Modo de operação
5 - Wireless 106
� ap bridge: Modo de ponto de acesso. Repassa os MACs do meio 
wireless de forma transparente para a rede cabeada.
� bridge: O mesmo que o o modo “ap bridge” porém aceitando 
somente um cliente.
� station: Modo cliente de um ap. Não pode ser colocado em bridge 
com outras interfaces.
Interface wireless – Modo de operação
5 - Wireless 107
� station pseudobridge: Estação que pode ser colocada em modo 
bridge, porém sempre passa ao AP seu próprio MAC.
� station pseudobridge clone: Modo idêntico ao anterior, porém 
passa ao AP um MAC pré determinado anteriormente.
� station wds: Modo estação que pode ser colocado em bridge com a 
interface ethernet e que passa os MACs de forma transparente. É 
necessário que o AP esteja em modo wds.
Interface wireless – Modo de operação
5 - Wireless 108
� alignment only: Modo utilizado para efetuar alinhamento de antenas e 
monitorar sinal. Neste modo a interface wireless “escuta” os pacotes que 
são mandados a ela por outros dispositivos trabalhando no mesmo canal.
� wds slave: Adéqua suas configurações conforme outro AP com mesmo 
SSID.
� nstreme dual slave: Será visto no tópico especifico de nstreme.
� station bridge: Faz um bridge transparente porém só pode ser usado para 
se conectar a um AP Mikrotik.
NV2
• Proprietário da Mikrotik (não funciona com outros 
fabricantes).
• Baseado em TDMA (Time Division Multiple Access).
• Resolver o problema do nó escondido.
• Melhora throughput e latência especialmente em PtMP.
Funcionamento do NV2
• Diferente do padrão 802.11 onde não existe controle do meio, com a 
utilização de NV2 o AP controla todo o acesso ao meio (em outras palavras o 
AP decide quem irá transmitir e quem irá receber).
• Em redes NV2 o AP divide o tempo em períodos fixos (Timeslot).
• Esses períodos (Timeslot) são alocados para Download e Upload de forma 
organizada, sendo que dois clientes não irão transmitir ao mesmo tempo e 
logo temos o seguinte:
- Evitamos colisões
- Aproveitamos melhor a largura de banda
- Aumento do throughput
Segurança de Acesso em redes sem fio
5 - Wireless 111
Falsa segurança
5 - Wireless 112
� Nome da rede escondido:
� Pontos de acesso sem fio por padrão fazem 
o broadcast de seu SSID nos pacotes 
chamados “beacons”. Este comportamento 
pode ser modificado no Mikrotik 
habilitando a opção “Hide SSID”.
� Pontos negativos:
� SSID deve ser conhecido pelos clientes.
� Scanners passivos o descobrem facilmente 
pelos pacotes de “probe request” dos 
clientes.
Falsa segurança
5 - Wireless 113
�Controle de MACs:
�Descobrir MACs que trafegam no ar é muito 
simples com ferramentas apropriadas e inclusive o 
Mikrotik como sniffer.
�Spoofar um MAC é bem simples. Tanto usando 
windows, linux ou Mikrotik.
Interface Wireless – Controle de 
Acesso
5 - Wireless 114
� A Access List é utilizada pelo AP para restringir associações de 
clientes. Esta lista contem os endereços MAC de clientes e 
determina qual ação deve ser tomada quando um cliente tenta 
conectar.
� A comunicação entre clientes da mesma interface, virtual ou real, 
também pode ser controlada na Access List.
Interface Wireless – Controle de 
Acesso
5 - Wireless 115
�O processo de associação 
ocorre da seguinte forma:
� Um cliente tenta se associar a uma interface wlan;
� Seu MAC é procurado na access list da interface wlan;
� Caso encontrado, a ação especifica será tomada:
� Authentication: Define se o cliente poderá se associar ou 
não;
� Fowarding: Define se os clientes poderão se comunicar.
Interface Wireless – Access List
5 - Wireless 116
� MAC Address: Endereço MAC a ser 
liberado ou bloqueado.
� Interface: Interface real ou virtual onde 
será feito o controle de acesso.
� AP Tx Limit: Limite de tráfego enviado 
para o cliente.
� Client Tx Limit: Limite de tráfego enviado 
do cliente para o AP.
� Private Key: Chave wep criptografada.
� Private Pre Shared Key: Chave WPA.
� Management Protection Key: Chave usada para evitar ataques de 
desautenticação. Somente compatível com outros Mikrotiks.
Interface Wireless – Connect List
5 - Wireless 117
� A Connect List tem a finalidade de listar os 
APs que o Mikrotik configurado como 
cliente pode se conectar.
� MAC Address: MAC do AP a se conectar.
� SSID: Nome da rede.
� Area Prefix: String para conexão com AP 
de mesma área.
� Security Profile: Definido nos perfis de 
segurança.
Obs.: Essa é uma boa opção para evitar que o cliente se associe a um AP
falso.
Falsa segurança
5 - Wireless 118
� Criptografia WEP:
� “Wired Equivalent Privacy” – Foi o sistema de criptografia 
inicialmente especificado no padrão 802.11 e está baseado no 
compartilhamento de um segredo entre o ponto de acesso e os 
clientes, usando um algoritmo RC4 para a criptografia.
� Várias fragilidades da WEP foram reveladas ao longo do tempo e 
publicadas na internet, existindo várias ferramentas para 
quebrar a chave, como:
�Airodump.
�Airreplay.
�Aircrack.
� Hoje com essas ferramentas é bem simples quebrar a WEP.
Evolução dos padrões de segurança
5 - Wireless 119
Chave WPA e WPA2 - PSK
5 - Wireless 120
� A configuração da chave WPA/WAP2-
PSK é muito simples no Mikrotik.
� No menu wireless clique na Security 
Profile e adicione um novo perfil
� Configure o modo de chave dinâmico e 
a chave pré combinada para cada tipo 
de autenticação.
� Em cada Wlan selecione o perfil de 
segurança desejado.
Obs.: As chaves são alfanuméricas de 8 até 
64 caracteres.
Segurança de WPA / WPA2
5 - Wireless 121
�Atualmente a única maneira conhecida para 
se quebrar a WPA-PSK é somente por ataque 
de dicionário.
�A maior fragilidade paras os WISP’s é que a 
chave se encontra em texto plano nos 
computadores dos clientes ou no próprio 
Mikrotik.
Método alternativo com Mikrotik
5 - Wireless 122
� A partir da versão 3 o Mikrotik oferece a possibilidade de distribuir uma
chave WPA2 PSK por cliente. Essa chave é configurada na Access List do AP
e é vinculada ao MAC Address do cliente, possibilitando que cada um 
tenha sua chave.
Obs.: Cadastrando as PSK na access list,
voltamos ao problema da chave ser 
visível a usuários do Mikrotik.
5 - Wireless 123
Perguntas ?
Roteamento
6 - Roteamento 124
O que é roteamento
�Em termos gerais, o 
roteamento é o 
processo de encaminhar 
pacotes entre redes 
conectadas.
�Para redes baseadas em TCP/IP, o roteamento faz 
parte do protocolo IP. 
�Para que o roteamento funcione ele trabalha em 
combinação com outros serviços de protocolo.
6 - Roteamento 125
Quando o roteamento é utilizado?
�Sempre que um determinado host precisar se 
comunicar como outro host/server que não 
esteja na mesma sub-rede ele irá precisar de um 
roteador (gateway) para alcançar seu destino.
192.168.20.1
192.168.1.1
192.168.1.200/24
192.168.20.2/24
Não necessita de roteamento
Origem Destino
192.168.1.201 192.168.1.200
192.168.1.201/24
Necessita de roteamento
Origem Destino
192.168.1.201 192.168.20.2
Exemplo 1 Exemplo 2
6 - Roteamento 126
Funcionamento padrão
• Quando um pacote chega a 
um roteador e consulta sua 
tabela de rotas para 
encontrar a melhor rota 
para o destino solicitado
187.15.15.134192.168.1.1192.168.1.200 8.8.8.8
Pacote IP
Origem Destino
192.168.1.99 8.8.8.8
Tudo que for 
destinado a:
(Dst. Address)
Encaminhe para 
o roteador:
(Gateway)
0.0.0.0/0 192.168.1.1
10.10.10.0/24 192.168.4.1
10.172.0.0/23 10.172.4.1
8.8.0.0/16 10.172.5.1
Tabela de rotas
6 - Roteamento 127
Na tabela de rotas
�Para cada encaminhamento o roteador faz um 
leitura completa da tabela de rotas.
�Se o roteador encontrar mais de uma rota 
para o destino solicitado ele sempre irá utilizar 
a rota mais especifica.
Dst. Address Gateway
0.0.0.0/0 192.168.1.18.0.0.0/8 10.172.6.1
8.8.0.0/16 10.172.5.1
Tabela de rotas
�A rota defult será 
utilizada sempre que 
não houver uma rota 
para o determinado 
destino.
6 - Roteamento 128
Roteamento - LAB
6 - Roteamento 129
172.25.1.0/24
172.25.2.0/24
10.10.4.0/30
10.10.3.0/30
10.10.1.0/30
10.10.2.0/30
Roteamento
� O Mikrotik suporta dois tipos de roteamento:
� Roteamento estático: As rotas são criadas pelo usuário através
de inserções pré-definidas em função da topologia da rede.
� Roteamento dinâmico: As rotas são geradas automaticamente
através de um protocolo de roteamento dinâmico ou de algum
agregado de endereço IP.
� O Mikrotik também suporta ECMP(Equal Cost Multi Path) 
que é um mecanismo que permite rotear pacotes através 
de vários links e permite balancear cargas.
� É possível ainda no Mikrotik se estabelecer políticas de 
roteamento dando tratamento diferenciado a vários tipos 
de fluxos a critério do administrador.
6 - Roteamento 130
Políticas de Roteamento
�Existem algumas regras que devem ser seguidas 
para se estabelecer uma política de roteamento:
�As políticas podem ser por marca de pacotes, por
classes de endereços IP e portas.
�As marcas dos pacotes devem ser adicionadas no
Firewall, no módulo Mangle com mark-routing.
�Aos pacotes marcados será aplicada uma política de 
roteamento, dirigindo-os para um determinado
gateway.
�É possível utilizar política de roteamento quando se
utiliza NAT.
6 - Roteamento 131
Políticas de Roteamento
� Uma aplicação típica de políticas de roteamento é trabalhar com 
dois um mais links direcionando o tráfego para ambos. Por exemplo 
direcionando tráfego p2p por um link e tráfego web por outro.
� É impossível porém reconhecer o tráfego p2p a partir do primeiro 
pacote, mas tão somente após a conexão estabelecida, o que 
impede o funcionamento de programas p2p em casos de NAT de 
origem.
� A estrátegia nesse caso é colocar como gateway default um link 
“menos nobre”, marcar o tráfego “nobre” (http, dns, pop, etc.) e 
desvia-lo pelo link nobre. Todas outras aplicações, incluindo o p2p 
irão pelo link menos nobre.
6 - Roteamento 132
Políticas de Roteamento
�Exemplo de política de 
roteamento.
O roteador nesse caso terá 2 
gateways com ECMP e check-
gateway. Dessa forma o tráfego 
será balanceado e irá garantir o 
failover da seguinte forma:
/ip route add dst-address=0.0.0.0/0 
gateway=10.111.0.1,10.112.0.1 check-
gateway=ping
6 - Roteamento 133
Ex. de Política de Roteamento
1. Marcar pacotes da rede 192.168.10.0/24 como lan1 e
pacotes da rede 192.168.20.0/24 como lan2 da seguinte forma:
/ip firewall mangle add src-address=192.168.10.0/24 
action=markrouting new-marking-routing=lan1 chain=prerouting
/ip firewall mangle add src-address=192.168.20.0/24 
action=markrouting new-marking-routing=lan2 chain=prerouting
2. Rotear os pacotes da rede lan1 para o gateway 10.1110.0.1 e
os pacotes da rede lan2 para o gateway 10.112.0.1 usando as
correspondentes marcas de pacotes da seguinte forma:
/ip routes add gateway=10.111.0.1 routing-mark=lan1 
checkgateway=ping
/ip routes add gateway=10.112.0.1 routing-mark=lan2 
checkgateway=ping
/ip routes add gateway=10.111.0.1,10.112.0.1 check-gateway=ping
6 - Roteamento 134
Roteamento Dinâmico
6 - Roteamento 135
Roteamento Dinâmico
� O Mikrotik suporta os seguintes 
protocolos:
� RIP versão 1 e 2;
� OSPF versão 2 e 3;
� BGP versão 4.
� O uso de protocolos de roteamento 
dinâmico permite implementar 
redundância e balanceamento de links 
de forma automática e é uma forma de 
se fazer uma rede semelhante as redes 
conhecidas como Mesh, porém de forma 
estática.
6 - Roteamento 136
Roteamento dinâmico - BGP
� O protocolo BGP é destinado a fazer 
comunicação entre AS(Autonomos
System) diferentes, podendo ser 
considerado como o coração da 
internet.
� O BGP mantém uma tabela de 
“prefixos” de rotas contendo
informações para se encontrar
determinadas redes entre os AS’s.
� A versão corrente do BGP no Mikrotik é 
a 4, especificada na RFC 1771.
6 - Roteamento 137
Roteamento Dinâmico - OSPF
� O protocolo Open Shortest Path First, é um protocolo do 
tipo “link state”. Ele usa o algoritmo de Dijkstra para 
calcular o caminho mais curto para todos os destinos.
� O OSPF distribui informações de roteamento entre os 
roteadores que participem de um mesmo 
AS(Autonomous System) e que tenha o protocolo OSPF 
habilitado.
� Para que isso aconteça, todos os roteadores tem de ser 
configurados de uma maneira coordenada e devem ter o 
mesmo MTU para todas as redes anunciadas pelo 
protocolo OSPF.
� O protocolo OSPF é iniciado depois que é adicionado um 
registro na lista de redes. As rotas são aprendidas e 
instaladas nas tabelas de roteamento dos roteadores.
6 - Roteamento 138
Roteamento Dinâmico - OSPF
�Tipos de roteadores em OSPF:
�Roteadores internos a uma área.
�Roteadores de backbone (área 0).
�Roteadores de borda de área (ABR).
�OS ABRs devem ficar entre dois roteadores e devem 
tocar a área 0.
�Roteadores de borda Autonomous System (ASBR).
�São roteadores que participam do OSPF mas 
fazem comunicação com um AS.
6 - Roteamento 139
OSPF - Áreas
� O protocolo OSPF permite que vários roteadores sejam agrupados 
entre si. Cada grupo formado é chamado de área e cada área roda 
uma cópia do algoritmo básico, e cada área tem sua própria base de 
dados do estado de seus roteadores.
� A divisão em áreas é importante pois como a estrutura de uma área 
só é visível para os participantes desta, o tráfego é sensivelmente 
reduzido. Isso também previne o “recalculo” das distâncias por 
áreas que não participam da área que promoveu alguma mudança 
de estado.
� É aconselhável utilizar no entre 50 e 60 roteadores em cada área.
6 - Roteamento 140
OSPF - Redes
�Aqui definimos as redes OSPF 
com os seguintes parâmetros: 
�Network: Endereço IP/Mascara, 
associado. Permite definir uma ou 
mais interfaces associadas a uma 
área. Somente redes conectadas 
diretamente podem ser adicionadas 
aqui.
�Area: Área do OSPF associada.
6 - Roteamento 141
OSPF - Opções
� Router ID: Geralmente o IP do roteador. 
Caso não seja especificado o roteador usará 
o maior IP que exista na interface.
� Redistribute Default Route:
� Never: nunca distribui rota padrão.
� If installed (as type 1): Envia com métrica 1 
se tiver sido instalada como rota estática, 
dhcp ou PPP.
� If installed (as type 2): Envia com métrica 2 
se tiver sido instalada como rota estática, 
dhcp ou PPP.
� Always (as type 1): Sempre, com métrica 1.
� Always (as type 2): Sempre, com métrica 2.
6 - Roteamento 142
OSPF - Opções
� Redistribute Connected Routes: Caso 
habilitado, o roteador irá distribuir todas 
as rotas relativas as redes que estejam 
diretamente conectadas a ele.
� Redistribute Static Routes: Caso 
habilitado, distribui as rotas cadastradas de 
forma estática em /ip routes.
� Redistribute RIP Routes: Caso habilitado, 
redistribui as rotas aprendidas por RIP.
� Redistribute BGP Routes: Caso habilitado, 
redistribui as rotas aprendidas por BGP.
� Na aba “Metrics” é possível modificar as 
métricas que serão exportadas as diversas 
rotas.
6 - Roteamento 143
OSPF - LAB
6 - Roteamento 144
172.25.1.0/24
172.25.2.0/2410.10.4.0/30
10.10.3.0/30
10.10.1.0/30
10.10.2.0/30
OSPF - LAB
6 - Roteamento 145
172.25.1.0/24
172.25.2.0/2410.10.4.0/30
10.10.3.0/30
10.10.1.0/30
10.10.2.0/30
OSPF - LAB
6 - Roteamento 146
172.25.1.0/24
172.25.2.0/2410.10.4.0/30
10.10.3.0/30
10.10.1.0/30
10.10.2.0/30
6 - Roteamento 147
Perguntas ?
Firewall no Mikrotik
7 - Firewall 148
Firewall
7 - Firewall 149
� O firewall é normalmente usado como ferramenta de segurança 
para prevenir o acesso não autorizado a rede interna e/ou 
acesso ao roteador em si, bloquear diversos tipos de ataques e 
controlar o fluxo de dados de entrada, de saída e passante.
� Além da segurança é no firewall que serão desempenhadas 
diversas funções importantes como a classificação e marcação 
de pacotespara desenvolvimento de regras de QoS.
� A classificação do tráfego feita no firewall pode ser baseada em 
vários classificadores como endereços MAC, endereços IP, tipos 
de endereços IP, portas, TOS, tamanho do pacotes, etc...
Firewall - Opções
7 - Firewall 150
� Filter Rules: Regras para filtro de pacotes.
� NAT: Onde é feito a tradução de endereços e portas.
� Mangle: Marcação de pacotes, conexão e roteamento.
� Service Ports: Onde são localizados os NAT Helpers.
� Connections: Onde são localizadas as conexões existentes.
� Address List: Lista de endereços ips inseridos de forma dinâmica ou estática e 
que podem ser utilizadas em várias partes do firewall.
� Layer 7 Protocols: Filtros de camada 7.
Estrutura do Firewall
7 - Firewall 151
Firewall
Tabela Filter Tabela NAT Tabela Mangle
Canal input
regras
regras
Canal Output
regras
regras
Canal Forward
regras
regras
Canal SRCNAT
regras
regras
Canal DSTNAT
regras
regras
Canal input
regras
Canal Output
regras
Canal Forward
regras
Canal Prerouting
regras
Canal Posrouting
regras
Fluxo do Firewall
7 - Firewall 152
Decisão 
de 
roteamento
Processo local
Chegada
Saída
Canal Prerouting
Canal DSTNAT Canal Forward
Canal Posrouting
Canal SRCNATCanal Input
Canal Output
Decisão 
de 
roteamento
Firewall – Connection Track
7 - Firewall 153
� Refere-se a habilidade do roteador em manter o estado da 
informação relativa as conexões, tais como endereços IP de origem 
e destino, as respectivas portas, estado da conexão, tipo de 
protocolos e timeouts. Firewalls que fazem connection track são 
chamados de “statefull” e são mais seguros que os que fazem 
processamentos “stateless”.
Firewall – Connection Track
7 - Firewall 154
� O sistema de connection tracking é o coração do 
firewall. Ele obtém e mantém informações sobre todas 
conexões ativas.
� Quando se desabilita a função “connection tracking” são 
perdidas as funcionalidades NAT e as marcações de 
pacotes que dependam de conexão. No entanto, 
pacotes podem ser marcados de forma direta.
� Connection track é exigente de recursos de hardware. 
Quando o equipamento trabalha somente como bridge 
é aconselhável desabilitá-la.
Localização da Connection Tracking
Decisão 
de 
roteamento
Processo local
Chegada
Saída
Canal Prerouting
Canal DSTNAT Canal Forward
Canal Posrouting
Canal SRCNAT
Canal Input
Canal Output
Decisão 
de 
roteamento
conntrack
conntrack
7 - Firewall 155
Firewall – Connection Track
7 - Firewall 156
� Estado das conexões:
� established: Significa que o pacote faz parte de uma conexão já 
estabelecida anteriormente.
� new: Significa que o pacote está iniciando uma nova conexão ou faz 
parte de uma conexão que ainda não trafegou pacotes em ambas 
direções.
� related: Significa que o pacote inicia uma nova conexão, porém está 
associada a uma conexão existente.
� invalid: Significa que o pacote não pertence a nenhuma conexão 
existente e nem está iniciando outra.
Firewall – Princípios gerais
7 - Firewall 157
� As regras de firewall são sempre processadas por canal, na 
ordem que são listadas de cima pra baixo.
� As regras de firewall funcionam como expressões lógicas 
condicionais, ou seja: “se <condição> então <ação>”.
� Se um pacote não atende TODAS condições de uma regra, 
ele passa para a regra seguinte.
Processamento das regras
SE combina com os campos ENTÃO executa a ação.
SE IP de destino=8.8.8.8 ENTÃO execute Drop
SE proto=TCP e dst-port=80 ENTÃO executa Accept
7 - Firewall 158
Firewall – Princípios gerais
7 - Firewall 159
�Quando um pacote atende TODAS as condições 
da regra, uma ação é tomada com ele, não 
importando as regras que estejam abaixo nesse 
canal, pois elas não serão processadas.
�Algumas exceções ao critério acima devem ser 
consideradas como as ações de: “passthrough”, 
log e “add to address list”.
�Um pacote que não se enquadre em qualquer 
regra do canal, por padrão será aceito.
Input Output
Firewall – Filter Rules
7 - Firewall 160
�As regras são organizadas em canais(chain) e existem 3 
canais “default” de tabela filters.
�INPUT: Responsável pelo tráfego que CHEGA no router;
�OUTPUT: Responsável pelo tráfego que SAI do router;
�FORWARD: Responsável pelo tráfego que PASSA pelo router.
Forward
Firewall – Filters Rules
7 - Firewall 161
� Algumas ações que podem ser tomadas nos filtros de 
firewall:
�passthrough: Contabiliza e passa adiante.
�drop: Descarta o pacote silenciosamente.
� reject: Descarta o pacote e responde com uma mensagem de 
icmp ou tcp reset.
� tarpit: Responde com SYN/ACK ao pacote TCP SYN entrante, mas 
não aloca recursos.
Firewall – Organização das regras
7 - Firewall 162
�As regras de filtro pode ser organizadas e 
mostradas da seguinte forma:
�all: Mostra todas as regras.
�dynamic: Regras criadas dinamicamente por serviços.
�forward, input output: Regras referente a cada canal.
�static: Regras criadas estaticamente pelos usuários.
Filter Rules – Canais criados pelo usuário
7 - Firewall 163
� Além dos canais criados por padrão o administrador pode criar canais 
próprios. Esta prática ajuda na organização do firewall.
� Para utilizar o canal criado devemos “desviar” o fluxo através de uma 
ação JUMP.
� No exemplo acima podemos ver 3 novos canais criados.
� Para criar um novo canal basta adicionar uma nova regra e dar o nome 
desejado ao canal.
Firewall – Filters Rules
7 - Firewall 164
�Ações relativas a canais 
criados pelo usuário:
�jump: Salta para um canal 
definido em jump-target.
�jump target: Nome do 
canal para onde se deve 
saltar.
�return: Retorna para o
canal que chamou o jump.
Como funciona o canal criado pelo 
usuário
7 - Firewall 165
Como funciona o canal criado pelo 
usuário
7 - Firewall 166
Firewall – Address List
7 - Firewall 167
�A address list contém uma lista de endereços IP 
que pode ser utilizada em várias partes do firewall.
�Pode-se adicionar entradas de forma dinâmica 
usando o filtro ou mangle conforme abaixo:
�Action:
�add dst to address list: Adiciona o IP de destino à lista.
�add src to address list: Adiciona o IP de origem à lista.
�Address List: Nome da lista de endereços.
�Timeout: Por quanto tempo a entrada permanecerá na lista.
Firewall
Protegendo o roteador
7 - Firewall 168
Princípios básicos de proteção
7 - Firewall 169
� Proteção do próprio roteador :
�Tratamento das conexões e eliminação de tráfego 
prejudicial/inútil.
�Permitir somente serviços necessários no próprio roteador.
�Prevenir e controlar ataques e acessos não autorizado ao 
roteador.
� Proteção da rede interna :
�Tratamento das conexões e eliminação de tráfego 
prejudicial/inútil.
�Prevenir e controlar ataques e acesso não autorizado em 
clientes.
Firewall – Proteção básica
7 - Firewall 170
�Regras do canal input
�Descarta conexões inválidas.
�Aceitar conexões estabelecidas.
�Aceitar conexões relacionadas.
�Aceitar todas conexões da rede interna.
�Descartar o restante.
Firewall – Proteção básica
7 - Firewall 171
�Regras do canal input
�Permitir acesso externo ao winbox.
�Permitir acesso externo por SSH.
�Permitir acesso externo ao FTP.
�Realocar as regras.
Firewal – Port Scan
7 - Firewall 172
� Port Scan:
� Consiste no escaneamento de portas TCP e/ou UDP.
� A detecção de ataques somente é possível para o protocolo TCP.
� Portas baixas (0 – 1023)
� Portas altas (1024 – 65535)
Firewall – Técnica do “knock knock”
7 - Firewall 173
Firewall – Técnica do “knock knock”
7 - Firewall 174
� A técnica do “knock knock” consiste em permitir acesso ao roteador somente após ter seu 
endereço IP em uma determinada address list.
� Neste exemplo iremos restringir o acesso ao winbox somente a endereços IP´s que estejam 
na lista “libera_winbox”:
/ip firewall filter
add chain=input protocol=tcp dst-port=2771 action=add-src-to-address
list address-list=knock address-list-timeout=15s comment="" disabled=no
add chain=input protocol=tcp dst-port=7127src-address-list=knock action= add
src-to-address-list address-list=libera_winbox address-list-timeout=15m
comment="" disabled=no
add chain=input protocol=tcp dst-port=8291 src-address-list=libera_winbox
action=accept disabled=no
add chain=input protocol=tcp dst-port=8291 action=drop disbled=no
Firewall – Ping flood
7 - Firewall 175
� Ping Flood consiste no envio de grandes volumes de mensagens 
ICMP aleatórias.
� Para evitar o Ping flood, podemos bloquear todo tráfego de 
ICMP.
� Ao bloquear todo trafego de ICMP podemos ter problemas com 
algumas aplicações (monitoramento e outros protocolos).
� Por isso é aconselhável colocarmos uma exceção permitindo um 
pelo menos 30 mensagens de ICMP por segundo.
Firewal – Evitando ping flood
7 - Firewall 176
/ip firewall filter
add chain=input comment="Aceita 30 mensagens ICMP por segundo" limit=30,5 protocol=icmp
add action=drop chain=input comment="Dropa todo ICMP" protocol=icmp
Firewal – Ataques do tipo DoS
7 - Firewall 177
� Ataques DoS:
� O principal objetivo do ataque de DoS é o consumo de recursos 
de CPU ou banda.
� Usualmente o roteador é inundado com requisições de
conexões TCP/SYN causando resposta de TCP/SYN-ACK e a 
espera do pacote TCP/ACK.
� O ataque pode ser intencional ou causado por vírus
em clientes.
� Todos os IP’s com mais de 15 conexões com o roteador
podem ser considerados atacantes.
Firewal – Ataques do tipo DoS
7 - Firewall 178
�Se simplesmente descartamos as conexões, 
permitiremos que o atacante crie uma nova conexão.
�Para que isso não ocorra, podemos implementar a 
proteção em dois estágios:
�Detecção – Criar uma lista de atacantes DoS com base em 
“connection limit”.
�Supressão – Aplicando restrições aos que forem detectados.
Firewal – Detectando um ataque DoS
7 - Firewall 179
� Criar a lista de atacantes
para posteriormente
aplicarmos a supressão
adequada.
Firewal – Suprimindo um ataque DoS
7 - Firewall 180
�Com a ação “tarpit” 
aceitamos a conexão 
e a fechamos, não 
deixando no entanto 
o atacante trafegar.
�Essa regra deve ser 
colocada antes da 
regra de detecção ou 
então a address list irá 
reescrevê-la todo 
tempo.
Firewal – DDoS
7 - Firewall 181
� Ataque DDoS:
�Ataque de DDoS são bastante
parecidos com os de 
DoS,porém partem de um 
grande número de hosts 
infectados.
�A única medida que podemos 
tomar é habilitar a opção TCP 
SynCookie no Connection 
Tracking do firewall.
Firewall - NAT
7 - Firewall 182
Tradução de endereços e portas
Firewall - NAT
7 - Firewall 183
� NAT – Network Address Translation é uma técnica que permite que 
vários hosts em uma LAN usem um conjunto de endereços IP’s para 
comunicação interna e outro para comunicação externa.
� Existem dois tipos de NAT :
� SRC NAT: O roteador faz alterações de IP ou porta de origem.
� DST NAT: O roteador faz alterações de IP ou porta de destino.
Firewall - NAT
7 - Firewall 184
�As regras de NAT são organizadas em canais:
�dstnat: Processa o tráfego enviado PARA o 
roteador e ATRAVÉS do roteador, antes que ele 
seja dividido em INPUT e/ou FORWARD.
�srcnat: Processa o tráfego enviado A PARTIR do 
roteador e ATRAVÉS do roteador, depois que ele 
sai de OUTPUT e/ou FORWARD.
Firewall NAT – Fluxo de pacotes
7 - Firewall 185
Firewall - SRCNAT
7 - Firewall 186
� Source NAT: A ação “mascarade” troca o endereço IP 
de origem de uma determinada rede pelo endereço IP 
da interface de saída. Portanto se temos, por exemplo, 
a interface ether5 com endereço IP 185.185.185.185 e 
uma rede local 192.168.0.0/16 por trás da ether1, 
podemos fazer o seguinte:
� Desta forma, todos os endereços IPs da rede local
vão obter acesso a internet utilizando o endereço
IP 185.185.185.185 
Firewall - DSTNAT
7 - Firewall 187
�Redirecionamento de portas: O NAT nos
possibilita redirecionar portas para permitir 
acesso a serviços que rodem na rede interna. 
Dessa forma podemos dar acesso a serviços de 
clientes sem utilização de endereço IP público.
� Redirecionamento para 
acesso ao servidor 
WEB do cliente
192.168.1.200 pela 
porta 80.
Firewall - NAT
7 - Firewall 188
�NAT (1:1): Serve para dar acesso bi-direcional a 
um determinado endereço IP. Dessa forma, um 
endereço IP de rede local pode ser acessado 
através de um IP público e vice-versa.
Firewall - NAT
7 - Firewall 189
�NAT (1:1) com netmap: Com o netmap
podemos criar o mesmo acesso bi-birecional
de rede para rede. Com isso podemos mapear, 
por exemplo, a rede 187.15.15.0/24 para a
rede 192.168.1.0/24 assim:
Firewall – NAT Helpers
7 - Firewall 190
� Hosts atrás de uma rede “nateada” não possuem conectividade 
fim-afim verdadeira. Por isso alguns protocolos podem não 
funcionar corretamente neste cenário. Serviços que requerem 
iniciação de conexões TCP fora da rede, bem como protocolos 
“stateless” como UDP, podem não funcionar. Para resolver este 
problema, a implementação de NAT no Mikrotik prevê alguns 
“NAT Helpers” que têm a função de auxiliar nesses serviços.
Firewall – Mangle
7 - Firewall 191
� O mangle no Mikrotik é uma facilidade que permite a 
introdução de marcas em pacotes IP ou em conexões, 
com base em um determinado comportamento 
especifico.
� As marcas introduzidas pelo mangle são utilizadas em
processamento futuro e delas fazem uso o controle de 
banda, QoS, NAT, etc... Elas existem somente no 
roteador e portanto não são passadas para fora.
� Com o mangle também é possível manipular o
determinados campos do cabeçalho IP como o “ToS”,
TTL, etc...
Firewall – Mangle
7 - Firewall 192
�As regras de mangle são organizadas em canais e
obedecem as mesma regras gerais das regras de 
filtro quanto a sintaxe.
�Também é possível criar canais pelo próprio 
usuário.
�Existem 5 canais padrão:
�prerouting: Marca antes da fila “Global-in”;
�postrouting: Marca antes da fila “Global-out”;
�input: Marca antes do filtro “input”;
�output: Marca antes do filtro “output”;
�forward: Marca antes do filtro “forward”;
Firewall – Diagrama do Mangle
7 - Firewall 193
Firewall – Mangle
7 - Firewall 194
�As opções de marcações incluem:
�mark-connection: Marca apenas o primeiro
pacote.
�mark-packet: Marca todos os pacotes.
�mark-routing: Marca pacotes para política de
roteamento.
Obs.: Cada pacote pode conter os 3 tipos de 
marcas ao mesmo tempo. Porém não pode 
conter 2 marcas do mesmo tipo.
Firewall – Mangle
7 - Firewall 195
�Marcando rotas:
�As marcas de roteamento são aproveitadas para 
determinar políticas de roteamento.
�A utilização dessas marcas será abordada no
tópico do roteamento.
Firewall – Mangle
7 - Firewall 196
�Marcando conexões:
�Use mark-connection para identificar uma ou
um grupo de conexões com uma marca especifica 
de conexão.
�Marcas de conexão são armazenadas na contrack.
�Só pode haver uma marca de conexão para cada 
conexão.
�O uso da contrack facilita na associação de cada
pacote a uma conexão específica.
Firewall – Mangle
7 - Firewall 197
�Marcando pacotes:
�Use mark-packet para identificar um fluxo
continuo de pacotes.
�Marcas de pacotes são utilizadas para controle de 
tráfego e estabelecimento de políticas de QoS.
Firewall – Mangle
7 - Firewall 198
�Marcando pacotes:
�Indiretamente: Usando a facilidade da connection
tracking, com base em marcas de conexão
previamente criadas. Esta é a forma mais rápida e
eficiente.
�Diretamente: Sem o uso da connection tracking
não é necessário marcas de conexões anteriores e 
o roteador irá comparar cada pacote com 
determinadas condições.
Firewall - Mangle
7 - Firewall 199
�Um bom exemplo da utilização do mangle é 
marcando pacotes para elaboração de QoS.
Após marcar a conexão, agora 
Precisamos marcar os pacotes 
provenientes desta conexão.
Firewall - Mangle
7 - Firewall 200
Obs.: A marcação de P2P 
disponibilizada no Mikrotik não 
inclui os programas
que usam criptografia.
Com base na conexão já
Marcada anteriormente, 
podemos fazer as 
marcações dos pacotes.
7 - Firewall 201
Perguntas ?
Failover
8 - Balancee Failover 202
Simulando um segundo link
8 - Balance e Failover 203
Adicione uma VLAN
Adicione um IP para a VLAN
Adicionando uma segunda rota
8 - Balance e Failover 204
�Não esquecer de criar uma nova regra de NAT.
Definindo principal e backup
8 - Balance e Failover 205
� Quando o router tem duas rotas com o endereço de 
destino iguais o campo distace irá determinar qual rota 
será usado para o encaminhamento de pacotes.
Monitorando um host remoto
8 - Balance e Failover 206
� Para que possamos saber se um link realmente está 
fora devemos monitorar um host qualquer na internet.
� Devemos fazer com que o teste de monitoramento seja 
encaminhado sempre por um único link, pois caso isso 
não aconteça podemos ter um falso positivo.
� Como fazer com que um determinado host seja 
acessado por um único link?
Criando o script
8 - Balance e Failover 207
Balanceamento de Carga com PCC
8 - Balance e Failover 208
Balanceamento de Carga com PCC
� O PCC é uma forma de balancear o tráfego de acordo 
com um critério de classificação pré-determinado das 
conexão. Os parâmetros de configuração são:
Obs.: O PCC só está disponível no Mikrotik a partir da versão 3.24.
8 - Balance e Failover 209
Balanceamento de Carga com PCC
• A partir do classificador selecionado será 
gerado um numerador que será divido pelo 
denominador e o resto será levado em conta 
para dizer se o pacote combina ou não com a 
regra do firewall.
8 - Balance e Failover 210
Funcionamento do PCC
� Número gerado pelo classificador => 192+168+1+99=460 
� Dividindo o número gerado pelo denominador => 460/2 = 230 resto=0 
� Resto da divisão é igual o numero do contador da regra 1 então o pacote é classificado na regra 1.
Exemplo 1 - Pacote IP
Origem Destino
192.168.1.99 8.8.8.8
Exemplo 1 - Pacote IP
Origem Destino
192.168.1.10 8.8.8.8
Regra que classifica para link 1
Regra que classifica para link 2
Classificador Denominador Contador
� Número gerado pelo classificador => 192+168+1+10=371
� Dividindo o número gerado pelo denominador => 371/2 = 135 resto=1 
� Resto da divisão é igual o numero do contador da regra 2 então o pacote é classificado na regra 2.
8 - Balance e Failover 211
� Primeiro precisamos fazer marcas rota para que possamos 
direcionar os pacotes por mais de um gateway.
� Poderíamos simplesmente marca as rotas , porém isso pode 
consumir muito recurso de processamento do roteador.
� Para evitar o consumo excessivo de CPU primeiro marcamos a 
conexão e depois marcamos a rota com base na conexão que já foi 
marcada.
� Todas as marcações são feitas no mangle do firewall
Balanceamento de Carga com PCC
8 - Balance e Failover 212
Balanceamento de Carga com PCC
�Exemplo de PCC com 2 links
Primeiro vamos marcar as conexões. Atente para a redes dos clientes , o denominador 
(links) e o contador que inicia em zero.
8 - Balance e Failover 213
Balanceamento de Carga com PCC
�Exemplo de PCC com 2 links
8 - Balance e Failover 214
Balanceamento de Carga com PCC
�Exemplo de PCC com 2 links
Agora vamos marcar as rotas com base nas
marcações de conexões já feitas 
anteriormente. Atente agora para desmarcar 
a opção “passthrough”.
8 - Balance e Failover 215
Balanceamento de Carga com PCC
�Exemplo de PCC com 2 links
8 - Balance e Failover 216
Balanceamento de Carga com PCC
�Exemplo de PCC com 2 links
Agora vamos criar as rotas baseadas nas marcações de rotas. Iremos considerar que os 2
gateways internet são: 10.10.10.1, 20.20.20.1
8 - Balance e Failover 217
Túneis e VPN
9 - Tuneis e VPN 218
VPN
• Uma Rede Privada Virtual é uma rede de
comunicações privada normalmente
utilizada por uma empresa ou conjunto de
empresas e/ou instituições, construídas em
cima de uma rede pública. O tráfego de
dados é levado pela rede pública utilizando
protocolos padrão, não necessariamente
seguros.
• VPNs seguras usam protocolos de criptografia por tunelamento que 
fornecem confidencialidade, autenticação e integridade necessárias 
para garantir a privacidade das comunicações requeridas. Quando 
adequadamente implementados, estes protocolos podem assegurar 
comunicações seguras através de redes inseguras.
9 - Tuneis e VPN 219
VPN
• As principais características da VPN são:
– Promover acesso seguro sobre meios físicos públicos
como a internet por exemplo.
– Promover acesso seguro sobre linhas dedicadas,
wireless, etc...
– Promover acesso seguro a serviços em ambiente
corporativo de correio, impressoras, etc...
– Fazer com que o usuário, na prática, se torne parte da
rede corporativa remota recebendo IPs desta e perfis de
segurança definidos.
– A base da formação das VPNs é o tunelamento entre dois
pontos, porém tunelamento não é sinônimo de VPN.
9 - Tuneis e VPN 220
Tunelamento
• A definição de tunelamento é a capacidade de criar túneis entre dois
hosts por onde trafegam dados.
• O Mikrotik implementa diversos tipos de tunelamento, podendo ser
tanto servidor como cliente desses protocolos:
– PPP (Point to Point Protocol)
– PPPoE (Point to Point Protocol over Ethernet)
– PPTP (Point to Point Tunneling Protocol)
– L2TP (Layer 2 Tunneling Protocol)
– OVPN (Open Virtual Private Network)
– IPSec (IP Security)
– Túneis IPIP
– Túneis EoIP
– Túneis VPLS
– Túneis TE
– Túneis GRE 
9 - Tuneis e VPN 221
Site-to-site
9 - Tuneis e VPN 222
Conexão remota
9 - Tuneis e VPN 223
Endereçamento ponto a ponto /32
�Geralmente usado em túneis
�Pode ser usado para economia de IPs.
9 - Tuneis e VPN 224
Router 1 Router 2
PPP – Definições Comuns para os
serviços
• MTU/MRU: Unidade máximas de transmissão/ recepção em
bytes. Normalmente o padrão ethernet permite 1500 bytes.
Em serviços PPP que precisam encapsular os pacotes, deve-se
definir valores menores para evitar fragmentação.
• Keepalive Timeout: Define o período de tempo em segundos após o qual 
o roteador começa a mandar pacotes de keepalive por segundo. Se 
nenhuma reposta é recebida pelo período de 2 vezes o definido em 
keepalive timeout o cliente é considerado desconectado.
• Authentication: As formas de autenticação permitidas são:
– Pap: Usuário e senha em texto plano sem criptografica.
– Chap: Usuário e senha com criptografia.
– Mschap1: Versão chap da Microsoft conf. RFC 2433
– Mschap2: Versão chap da Microsoft conf. RFC 2759
9 - Tuneis e VPN 225
PPP – Definições Comuns para os
serviços
• PMTUD: Se durante uma comunicação alguma estação enviar pacotes IP
maiores que a rede suporte, ou seja, maiores que a MTU do caminho, então
será necessário que haja algum mecanismo para avisar que esta estação
deverá diminuir o tamanho dos pacotes para que a comunicação ocorra
com sucesso. O processo interativo de envio de pacotes em determinados
tamanhos, a resposta dos roteadores intermediarios e a adequação dos
pacotes posteriores é chamada Path MTU Discovery ou PMTUD.
Normalmente esta funcionalidade está presente em todos roteadores,
sistemas Unix e no Mikrotik ROS.
• MRRU: Tamanho máximo do pacote, em bytes, que poderá ser recebido
pelo link. Se um pacote ultrapassa esse valor ele será dividido em pacotes
menores, permitindo o melhor dimensionamento do túnel. Especificar o
MRRU significa permitir MP (Multilink PPP) sobre túnel simples. Essa
configuração é útil para o PMTUD superar falhas. Para isso o MP deve ser
configurado em ambos lados.
9 - Tuneis e VPN 226
PPP – Definições Comuns para os
serviços
Change MSS: Maximun Segment Size, tamanho máximo do segmento de 
dados. Um pacote MSS que ultrapasse o MSS dos roteadores por onde o 
túnel está estabelecido deve ser fragmentado antes de enviá-lo. Em alguns 
caso o PMTUD está quebrado ou os roteadores não conseguem trocar 
informações de maneira eficiente e causam uma série de problemas com 
transferência HTTP, FTP, POP, etc... Neste caso Mikrotik proporciona 
ferramentas onde é possível interferir e configurar uma diminuição do MSS 
dos próximos pacotes através do túnel visando resolver o problema.
9 - Tuneis e VPN 227
PPPoE – Cliente e Servidor• PPPoE é uma adaptação do PPP para funcionar em redes ethernet. Pelo fato 
da rede ethernet não ser ponto a ponto, o cabeçalho PPPoE inclui 
informações sobre o remetente e o destinatário, desperdiçando mais banda. 
Cerca de 2% a mais.
• Muito usado para autenticação de clientes com base em Login e Senha. O 
PPPoE estabelece sessão e realiza autenticação com o provedor de acesso a 
internet.
• O cliente não tem IP configurado, o qual é atribuído pelo Servidor 
PPPoE(concentrador) normalmente operando em conjunto com um servidor 
Radius. No Mikrotik não é obrigatório o uso de Radius pois o mesmo 
permite criação e gerenciamento de usuários e senhas em uma tabela local.
• PPPoE por padrão não é criptografado. O método MPPE pode ser usado 
desde que o cliente suporte este método.
9 - Tuneis e VPN 228
PPPoE – Cliente e Servidor
• O cliente descobre o servidor 
através do protocolo pppoe
discovery que tem o nome do
serviço a ser utilizado.
• Precisa estar no mesmo 
barramento físico ou os
dispositivos passarem pra
frente as requisições PPPoE
usando pppoe relay.
• No Mikrotik o valor padrão do Keepalive Timeout é 10, e funcionará 
bem na maioria dos casos. Se configurarmos pra zero, o servidor 
não desconectará os
clientes até que os mesmos solicitem ou o servidor for reiniciado.
9 - Tuneis e VPN 229
Configuração do Servidor PPPoE
1. Primeiro crie um pool de IPs para o PPPoE.
/ip pool add name=pool-pppoe
ranges=172.16.0.2-172.16.0.254
2. Adicione um perfil para o PPPoE onde:
Local Address = Endereço IP do concentrado.
Remote Address = Pool do pppoe.
/ppp profile local-address=172.16.0.1 
name=perfilpppoe remote-address=pool-pppoe
9 - Tuneis e VPN 230
Configuração do Servidor PPPoE
3. Adicione um usuário e senha
/ppp secret add name=usuario password=123456
service=pppoe profile=perfil-pppoe
Obs.: Caso queira verificar o MAC-Address, 
adicione em Caller ID. Esta opção não é 
obrigatória, mas é um parametro a mais para 
segurança.
9 - Tuneis e VPN 231
Configuração do Servidor PPPoE
4. Adicione o Servidor PPoE
Service Name = Nome que os clientes vão
procurar (pppoe-discovery).
Interface = Interface onde o servidor pppoe vai
escutar.
/interface pppoe-server server add
authentication=chap, mschap1, mschap2
default-profile=perfil-pppoe disabled=no
interface=wlan1 keepalive-timeout=10 maxmru=
1480 max-mtu=1480 max-sessions=50
mrru=512 one-session-per-host=yes servicename="
Servidor PPPoE"
9 - Tuneis e VPN 232
Mais sobre perfis
• Bridge: Bridge para associar ao perfil
• Incoming/Outgoing Filter: Nome do canal do
firewall para pacotes entrando/saindo.
• Address List: Lista de endereços IP para 
associar ao perfil.
• DNS Server: Configuração dos servidores DNS a
atribuir aos clientes.
• Use Compression/Encryption/Change TCP MSS:
caso estejam em default, vão associar ao valor que
está configurado no perfil default-profile.
9 - Tuneis e VPN 233
Mais sobre perfis
• Session Timeout: Duração máxima de uma 
sessão PPPoE.
• Idle Timeout: Período de ociosidade na 
transmissão de uma sessão. Se não houver 
tráfego IP dentro do período configurado, a 
sessão é terminada.
• Rate Limit: Limitação da velocidade na forma 
rx-rate/tx-rate. Pode ser usado também na
forma rx-rate/tx-rate rx-burst-rate/tx-burstrate
rx-burst-threshould/tx-burst-threshould
burst-time priority rx-rate-min/tx-rate-min.
• Only One: Permite apenas uma sessão para o 
mesmo usuário.
9 - Tuneis e VPN 234
Mais sobre o database
• Service: Especifica o serviço disponível para este 
cliente em particular.
• Caller ID: MAC Address do cliente.
• Local/Remote Address: Endereço IP Local (servidor) 
e remote(cliente) que poderão ser atribuídos a um 
cliente em particular.
• Limits Bytes IN/Out: Quantidade em bytes que o 
cliente pode trafegar por sessão PPPoE.
• Routes: Rotas que são criadas do lado do servidor 
para esse cliente especifico. Várias rotas podem ser 
adicionadas separadas por vírgula.
9 - Tuneis e VPN 235
Mais sobre o PPoE Server
O concentrador PPPoE do Mikrotik suporta múltiplos servidores
para cada interface com diferentes nomes de serviço. Além do
nome do serviço, o nome do concentrador de acesso pode ser
usado pelos clientes para identificar o acesso em que se deve
registrar. O nome do concentrador é a identidade do roteador.
O valor de MTU/MRU inicialmente recomendado para o PPPoE
é 1480 bytes. Em uma rede sem fio, o servidor PPPoE pode ser
configurado no AP. Para clientes Mikrotik, a interface de rádio
pode ser configurada com a MTU em 1600 bytes e a MTU da
interface PPPoE em 1500 bytes.
Isto otimiza a transmissão de pacotes e evita problemas associados a MTU menor que 
1500 bytes. Até o momento não possuímos nenhuma maneira de alterar a MTU da 
interface sem fio de clientes MS Windows. A opção One Session Per Host permite 
somente uma sessão por host(MAC Address). Por fim, Max Sessions define o número 
máximo de sessões que o concentrador suportará.
9 - Tuneis e VPN 236
Configurando o PPPoE Client
• AC Name: Nome do concentrador. Deixando em branco conecta 
em qualquer um.
• Service: Nome do serviço designado no servidor PPPoE.
• Dial On Demand: Disca sempre que é gerado tráfego de saída.
• Add Default Route: Adiciona um rota padrão(default).
• User Peer DNS: Usa o DNS do servidor PPPoE.
9 - Tuneis e VPN 237
PPTP e L2TP
• L2TP – Layer 2 Tunnel Protocol: Protocolo de tunelamento em 
camada 2 é um protocolo de tunelamento seguro para transportar 
tráfego IP utilizando PPP. O protocolo L2TP trabalha na camada 2 de 
forma criptografada ou não e permite enlaces entre dispositivos de 
redes diferentes unidos por diferentes protocolos.
• O tráfego L2TP utiliza protocolo UDP tanto para controle como para 
pacote de dados. A porta UDP 1701 é utilizada para o 
estabelecimento do link e o tráfego em si utiliza qualquer porta 
UDP disponível, o que significa que o L2TP pode ser usado com a 
maioria dos Firewalls e Routers, funcionando também através de 
NAT.
• L2TP e PPTP possuem as mesma funcionalidades.
9 - Tuneis e VPN 238
Configuração do Servidor PPTP e L2TP
• Configure um pool, um perfil para o PPTP, adicione um usuário em “secrets”
e habilite o servidor PPTP conforme as figuras.
9 - Tuneis e VPN 239
Configuração do Servidor PPTP e L2TP
• Configure os servidores 
PPTP e L2TP.
• Atente para utilizar o 
perfil correto.
• Configure nos hosts 
locais um cliente PPTP e 
realize conexão com um 
servidor da outra rede.
Ex.: Hosts do Setor1 
conectam em servidores do 
Setor2 e vice-versa.
9 - Tuneis e VPN 240
Configuração do Servidor PPTP e L2TP
• As configurações para o cliente PPTP e L2TP são 
bem simples, conforme observamos nas imagens.
9 - Tuneis e VPN 241
Túneis IPIP
• IPIP é um protocolo que encapsula pacotes IP sobre o próprio 
protocolo IP baseado na RFC 2003. É um protocolo simples que 
pode ser usado pra interligar duas intranets através da internet 
usando 2 roteadores.
• A interface do túnel IPIP aparece na lista de interfaces como se 
fosse uma interface real.
• Vários roteadores comerciais, incluindo CISCO e roteadores 
baseados em Linux suportam esse protocolo.
• Um exemplo prático de uso do IPIP seria a necessidade de 
monitorar hosts através de um NAT, onde o túnel IPIP colocaria a 
rede privada disponível para o host que realiza o monitoramento, 
sem a necessidade de criar usuário e senha como nas VPNs.
9 - Tuneis e VPN 242
Túneis IPIP
• Supondo que temos que unir as redes que 
estão por trás dos roteadores 10.0.0.1 e 
22.63.11.6. Para tanto basta criemos as 
interfaces IPIP em ambos, da seguinte forma:
9 - Tuneis e VPN 243
Túneis IPIP
• Agora precisamos atribuir os IPs as interfaces 
criadas.
• Após criado o túnel IPIP as redes fazem parte 
do mesmo domínio de broadcast.
9 - Tuneis e VPN 244
Túneis EoIP
• EoIP(Ethernet over IP) é um protocolo
proprietário Mikrotik para encapsula mento
de todo tipo de tráfego sobre o protocolo IP.
• Quando habilitada a função de Bridge dos roteadores que estão interligados 
através de umtúnel EoIP, todo o tráfego é passado de uma lado para o outro de 
forma transparente mesmo roteado pela internet e por vários protocolos.
• O protocolo EoIP possibilita:
- Interligação em bridge de LANs remotas através da internet.
- Interligação em bridge de LANs através de túneis criptografados.
• A interface criada pelo túnel EoIP suporta todas funcionalidades de uma interface
ethernet. Endereços IP e outros túneis podem ser configurados na interface EoIP. O
protocolo EoIP encapsula frames ethernet através do protocolo GRE.
9 - Tuneis e VPN 245
Túneis EoIP
• Criando um túnel EoIP entre as 
redes por trás dos roteadores 
10.0.0.1 e 22.63.11.6.
• Os MACs devem ser diferentes 
e estar entre o rage: 00-00-5E-
80-00-00 e 00-00-5E-FF-FF-FF, 
pois são endereços reservados 
para essa aplicação.
• O MTU deve ser deixado em 
1500 para evitar fragmentação.
• O túnel ID deve ser igual para 
ambos.
9 - Tuneis e VPN 246
Túneis EoIP
• Adicione a interface EoIP a bridge, 
juntamente com a interface que fará
parte do mesmo domínio de broadcast.
9 - Tuneis e VPN 247
9 - Tuneis e VPN 248
Perguntas ?
QoS e Controle de banda
10 - QoS 249
Conceitos básicos de Largura e Limite
de banda
� Largura de banda: Em telecomunicações, a largura da banda ou apenas banda (também chamada 
de débito) usualmente se refere à bitrate de uma rede de transferência de dados, ou seja, a quantidade
em bits/s que a rede suporta. A denominação banda, designada originalmente a um grupo de
frequências é justificada pelo fato de que o limite de transferência de dados de um meio está ligado à
largura da banda em hertz. O termo banda larga denota conexões com uma largura em hertz
relativamente alta, em contraste com a velocidade padrão em linhas analógicas convencionais (56
kbps), na chamada conexão discada.
� Limite de banda: O limite de banda é o limite máximo de transferência de dados, onde também é
designada sua velocidade. Por exemplo, você pode ter uma conexão discada de 56 kbps, onde 56
kilobits (7 kbytes) por segundo é o limite de transferência de dados de sua conexão ou uma banda de
1Mbps, você conseguiria transportar cerca de 1 megabit ou aproximadamente 340 kilobytes por
segundo. Nela podemos achar também o valor relativo a transferência de dados real, ou também
chamado de Taxa ou Velocidade de Transferência ou (throughput), que varia aproximadamente entre
10 a 12 por cento do valor nomintal de seu limite de banda. Por exemplo, numa velocidade de 56kbps,
você conseguirá taxas de transferencia de no máximo 5,6 a 6,7 kbps aproximadamente, enquanto numa
banda de 256kbps, você conseguirá uma Taxa de Transferência de aproximadamente entre 25kbps a
30,7kbps
10 - QoS 250
Traffic Shaping
• Traffic shaping é um termo da língua inglesa, utilizado para definir a prática de priorização
do tráfego de dados, através do condicionamento do débito de redes, a fim de otimizar o
uso da largura de banda disponível.
• O termo passou a ser mais conhecido e utilizado após a popularização do uso de
tecnologias "voz sobre ip" (VoIP), que permitem a conversação telefônica através da
internet. O uso desta tecnologia permite que a comunicação entre localidades distintas
tenham seus custos drasticamente reduzidos, substituindo o uso das conexões comuns.
• No Brasil, a prática passou a ser adotada pelas empresas de telefonia, apesar de
condenada por algumas instituições protetoras dos direitos do consumidor. Estas empresas
utilizam programas de gestão de dados que acompanham e analisam a utilização e
priorizam a navegação, bloqueando ou diminuindo o trafego de dados VoIP, assim
prejudicando a qualidade do uso deste tipo de serviço. A prática também é comumente
adotada para outros tipos de serviços, conhecidos por demandar grande utilização da
largura de banda, como os de transferência de arquivos, por exemplo, P2P e FTP.
• Os programas de traffic shaping podem ainda fazer logs dos hábitos de utilizadores,
capturar informações sobre IPs acedidos, ativar gravações automáticas a partir de
determinadas condutas, reduzir ou interferir na transferência de dados de cada utilizador,
bloqueando redes peer-to-peer (P2P) ou FTP.
10 - QoS 251
Qualidade de Serviço
• No campo das telecomunicações e redes de computadores, o termo Qualidade de
Serviço (QoS) pode tender para duas interpretações relacionadas, mas distintas.
• Em redes de comutação de circuitos, refere-se à probabilidade de sucesso em estabelecer 
uma ligação a um destino. Em redes de comutação de pacotes refere-se à garantia de largura de banda 
ou, como em muitos casos, é utilizada informalmente para referir a probabilidade de um pacote
circular entre dois pontos de rede.
• Existem, essencialmente, duas formas de oferecer garantias QoS. A primeira procura 
oferecer bastantes recursos, suficientes para o pico esperado, com uma margem de segurança 
substancial. É simples e eficaz, mas na prática é assumido como dispendioso, e tende a ser ineficaz se o 
valor de pico aumentar além do previsto: reservar recursos gasta tempo. O segundo método é o de 
obrigar os provedores a reservar os recursos, e apenas aceitar as reservas se os routers conseguirem 
servi-las com confiabilidade. Naturalmente, as reservas podem ter um custo monetário associado!
10 - QoS 252
Qualidade de Serviço
� Os mecanismos para prover QoS no Mikrotik são:
– Limitar banda para certos IP’s, subredes, protocolos, 
serviços e outros parâmetros.
– Limitar tráfego P2P.
– Priorizar certos fluxos de dados em relação a outros.
– Utilizar burst’s para melhorar o desempenho web.
– Compartilhar banda disponível entre usuários de forma 
ponderada dependendo da carga do canal.
– Utilização de WMM – Wireless Multimídia.
– MPLS – Multi Protocol Layer Switch
10 - QoS 253
Qualidade de Serviço
Os principais termos utilizados em QoS são:
– Queuing discipline(qdisc): Disciplina de enfileiramento. É um algoritmo 
que mantém e controla uma fila de pacotes. Ela especifica a ordem dos 
pacotes que saem, podendo inclusive reordená-los, e determina quais 
pacotes serão descartados.
– Limit At ou CIR(Commited Information Rate): Taxa de dados garantida. É a 
garantia de banda fornecida a um circuito ou link.
– Max Limit ou MIR(Maximal Information Rate): Taxa máxima de dados que 
será fornecida. Ou seja, limite a partir do qual os pacotes serão descartados.
– Priority: É a ordem de importância que o tráfego é processado.
Pode-se determinar qual tipo de tráfego será processado
primeiro.
10 - QoS 254
Filas - Queues
� Para ordenar e controlar o fluxo de dados, é aplicada uma 
política de enfileiramento aos pacotes que estejam 
deixando o roteador. Ou seja: “As filas são aplicadas na 
interface onde o fluxo está saindo.”
� A limitação de banda é feita mediante o descarte de 
pacotes.
No caso do protocolo TCP, os pacotes descartados serão
reenviados, de forma que não há com que se preocupar com
relação a perda de dados. O mesmo não vale para o UDP.
10 - QoS 255
Tipos de filas
� Antes de enviar os pacotes por uma interface, eles são processados 
por uma disciplina de filas(queue types). Por padrão as disciplinas 
de filas são colocadas sob “queue interface” para cada interface 
física.
� Uma vez adicionada uma fila para uma interface física, a fila padrão 
da interface, definida em queue interface, não será mantida. Isso 
significa que quando um pacote não encontra qualquer filtro, ele é 
enviado através da interface com prioridade máxima.
10 - QoS 256
Tipos de filas
� As disciplinas de filas são utilizadas para (re)enfileirar e 
(re)organizar pacotes na medida em que os mesmos chegam na 
interface. As disciplinas de filas são classificadas pela sua influência 
no fluxo de pacotes da seguinte forma:
– Schedulers: (Re) ordenam pacotes de acordo com um
determinado algoritmo e descartam aqueles que se enquadram 
a disciplina. As disciplinas “schedulers” são: PFIFO, BFIFO, SFQ,
PCQ e RED.
– Shapers: Também fazem limitação. Esses são: PCQ e HTB.
10 - QoS 257
Controle de tráfego
10 - QoS 258
Controle