Aulas Mtcna y2669
This document was ed by and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this report form. Report r6l17
Overview 4q3b3c
& View Aulas Mtcna as PDF for free.
More details 26j3b
- Words: 7,753
- Pages: 282
Certified Network Associate (MTCNA) Rio de Janeiro, RJ Fevereiro, 2019
Sobre o Instrutor Leonardo Rosa
•
Consultor em Internetworking desde 2006.
•
Instrutor MikroTik desde 2012, certificado na Polônia.
•
Ministra cursos e treinamentos nas certificações MTCNA, MTCRE, MTCINE, MTCWE, MTCTCE, MTCUME e MTCIPv6E. 2
Objetivos do Curso •
Promover uma visão geral do software RouterOS e dos produtos RouterBOARD
•
Treinamento prático em configurações MikroTik, manutenção e resolução de problemas básicos
3
Aprendizado Esperado O estudante irá:
•
Se habilitar a configurar, gerenciar e solucionar problemas básicos em dispositivos MikroTik RouterOS
•
Se habilitar a prover serviços básicos a clientes
•
Ter uma base sólida e ferramentas valiosas para gerenciar uma rede 4
Cursos de Certificação MikroTik MTCNA
MTCRE
MTCWE
MTCTCE
MTCUME
MTCIPv6E
MTCINE
Mais informação em: mikrotik.com/training 5
MTCNA Outline • Módulo 1: Introdução • Módulo 2: DH • Módulo 3: Roteamento • Módulo 4: Bridge • Módulo 5: Wireless • Módulo 6: Firewall 6
MTCNA Outline • Módulo 7: QoS • Módulo 8: Túneis • Módulo 9: Diversos • LABs práticos durante cada módulo • Outline detalhada disponível em mikrotik.com
7
Agenda • Treinamento: das 9h às 18h • 1 hora de almoço: 12h • Coffee-break à tarde de 30 minutos: 15h30 • Exame de certificação: último dia, 1 hora
8
Serviços locais • Saída de emergência: mesma principal • Banheiros no corredor • Café e água dentro da sala
9
Gentileza •
Colocar telefone em “silêncio” e atender chamadas apenas fora da sala
• • • •
Silenciar o áudio do PC Faça perguntas! Abra um bloco de notas Anote seu número “XY”
10
Apresentações • Seu Nome e Empresa • Seu conhecimento sobre redes • Sua experiência com o RouterOS • Expectativas com este curso
11
Certified Network Associate (MTCNA)
Módulo 1 Introdução
Sobre a MikroTik • Fabricante de software e hardware para roteadores
• Produtos usados por ISPs, empresas e residências
• Missão: tornar as tecnologias da Internet mais rápidas, mais poderosas e íveis a uma faixa maior de usuários 13
Sobre a MikroTik • 1996: Estabelecida • 1997: Soft. RouterOS para x86 (PC) • 2002: Primeira RouterBOARD • 2006: Primeiro MUM (MikroTik Meeting) - Praga, República Checa
• 2017: Maior MUM: Indonésia, 3000+ 14
Sobre a MikroTik • Situada na Letônia • Mais de 160 funcionários
• mikrotik.com • routerboard.com
15
MikroTik RouterOS • É o sistema operacional do hardware RouterBOARD da MikroTik
• Pode também ser instalado em um PC ou como máquina virtual (VM)
• SO independente baseado no kernel Linux (atualmente 3.3.5)
16
Recursos RouterOS • e completo a 802.11 a/b/g/n/ac • Firewall/controle de banda • Tunelamento Ponto-a-Ponto (PPTP, PPPoE, SSTP, OpenVPN)
• DH/Proxy/HotSpot • Muito mais, ver em: wiki.mikrotik.com 17
MikroTik RouterBOARD • Uma família de soluções em hardware criada pela MikroTik que roda o RouterOS
• Variando desde routers residenciais à concentradores de o de grande porte
• Milhões de RouterBOARDs estão atualmente roteando o mundo 18
MikroTik RouterBOARD • Soluções integradas – prontas para uso • Apenas placas – para montagem de sistema próprio ou personalizado
• Cases – para montagens personalizadas da RouterBOARD
• Interfaces – para expandir funcionalidades • órios 19
Primeiro o • Cabo null modem • Cabo ethernet • WiFi Cabo Ethernet
Cabo Null Modem WiFi
20
Primeiro o • Emulador de terminal, em caso de conexão por porta serial
• Telnet • SSH • WebFig • WinBox - mikrotik.com/ 21
WinBox • Endereço IP padrão (LAN): 192.168.88.1
• Usuário: • Senha: (em branco)
22
B LA
MAC WinBox • Observe a barra de título do WinBox
quando conectado usando o endereço IP
• Conecte ao router usando o endereço MAC
• Observe a barra novamente 23
• Desabilite o endereço IP na interface bridge
• Tente logar no router usando o endereço IP (não é possível)
• Tente logar no router usando o MAC WinBox (funciona)
24
B LA
MAC WinBox
B LA
MAC WinBox • Habilite o endereço IP na interface bridge
• Logue no router usando o endereço IP
25
WebFig • Navegador - http://192.168.88.1
26
Quick Set • Configuração basica do router em uma única janela
• ível por WinBox e WebFig • Descrito com mais detalhes no curso “Introdução ao MikroTik RouterOS e RouterBOARDs”
27
Quick Set
28
Configuração Padrão • Diversas configurações são aplicadas • Para mais informação veja a página configuração padrão
• Exemplo: SOHO routers - DH client na Ether1, DH server no resto das portas + WiFi
• Pode ser descartada e o router ficará em “branco” 29
Linha de Comando • Disponível via SSH, Telnet ou ‘New Terminal’ no WinBox e WebFig
30
Linha de Comando •
completa o comando •
duplo mostra os comandos/opções disponíveis
• ‘?’ mostra a ajuda • Navegue através dos comandos anteriores com as setas <↑>, <↓>
31
Linha de Comando • Estrutura hierarquica (similar ao menu do WinBox)
• Mais info na página console da wiki
No WinBox: menu Interfaces 32
AP da sala notebook
seu router
192.168.88.1
33
B LA
o à Internet
• Conecte o notebook ao router com o cabo plugando-o na ether3
• Desabilite outras interfaces (wireless) em seu notebook
• Certifique-se que a interface Ethernet está em DH
34
B LA
Notebook - Router
• O gateway da Internet da sala está ível na rede sem-fio via AP (access point) AP da sala notebook
seu router
192.168.88.1 35
B LA
Router - Internet
• Para se conectar no AP você precisará:
•
Atribuir a interface wireless ao modo “station” e ssid “MTCNA”
•
E remover/desabilitar a wireless da interface bridge (usada na “default configuration”)
36
B LA
Router - Internet
• Para ter internet na RB e no PC você precisará:
•
Configurar o DH client para a interface wireless
•
E incluir a wlan1 na lista WAN de interfaces (/interface list member)
37
B LA
Router - Internet
Remova/ desabilite a interface WiFi da interface bridge
Bridge → Ports
38
B LA
Router - Internet
DH client na interface WiFi IP → DH Client
39
B LA
Router - Internet
Configure masquerade na interface WiFi IP → Firewall → NAT
40
B LA
Router - Internet
• Ping www.mikrotik.com do seu notebook
41
B LA
Conferindo a Conectividade
Troubleshooting • O router não pinga além do AP • O router não resolve nomes • O notebook não pinga além do router • O notebook não resolve nomes • A regra masquerade não funciona 42
RouterOS Releases • Long-term (bugfix) – correções, sem novos recursos
• Stable (current) – mesmas correções + novos recursos
• Testing (release candidate) – versões beta e RC)
43
Atualizando o RouterOS • Maneira mais fácil
System → Packages → Check For Updates 44
Gerenciando Pacotes • As funções do RouterOS são habilitadas/desabilitadas através dos pacotes
System → Packages 45
Pacotes do RouterOS Pacote
Funcionalidade
advanced-tools
Netwatch, wake-on-LAN
dh
Servidor e cliente DH
hotspot
Servidor de Captive Portal
ipv6
e ao IPv6
ppp
Servidor e cliente de PPP, PPTP, L2TP, PPPoE
routing
Roteamento dinâmico: RIP, BGP, OSPF
security
Winbox seguro, SSH, IPsec
system
Recursos básicos: roteamento estático, firewall, bridging, etc.
wireless
e à 802.11 a/b/g/n/ac, CAPsMAN v2 46
B LA
Gerenciando Pacotes • Desabilite o pacote wireless • Reinicie o router • Observe a lista de interfaces • Habilite o pacote wireless • Reinicie o router • Verifique/corrija sua internet 47
RouterBOOT
System → Routerboard
• Mais info na página da wiki RouterBOOT 48
Netinstall • Usado para instalar e reinstalar o RouterOS
• É necessária uma conexão de rede direta com o router (pode ser através de switch)
• O cabo sempre na porta PoE • Roda no Windows • Mais info em na página Netinstall 49
Netinstall
• Disponível em www.mikrotik.com/ 50
RouterOS s
System → s
51
Backup da Configuração • Existem dois tipos de backup • Arquivo Backup (.backup) – usado para restaurar a configuração no mesmo router
• Arquivo Export (.rsc) – usado para mover a configuração para outro router
52
Reset Configuration • Resetar para a default configuration • Manter os usuários do RouterOS após o reset
• Resetar o router sem qualquer configuração (em branco)
• Rodar um script após o reset System → Reset Configuration 53
• Crie um arquivo .backup • Resete a config do router (vai perder o à internet)
• Restaure a configuração do router (o o à internet volta)
54
B LA
Backup da Configuração
io pc O
l na
B LA
Backup via Export
• Crie um arquivo .rsc (comando “export”) • Resete a config do router completamente • Importe a config do arquivo com o comando /import <arquivo.rsc>
55
Licenças RouterOS • Toda RouterBOARD embarca uma licença
• Diferentes níveis de licença (recursos)
• Atualizações ilimitadas • Licença para x86 pode ser comprada em mikrotik.com ou com distribuidores 56
System → License
Licenças RouterOS Nível
Tipos
Usos
0
Trial Mode
24h trial
1
Free Demo
3
E
Wireless client (station), volume only
4
AP
Wireless AP: WISP, CASA, Escritório
5
ISP
a mais túneis que a L4
6
Controller
Recursos do RouterOS ilimitados
57
Módulo 1 Resumo
Certified Network Associate (MTCNA)
Módulo 2 DH
DH • Dynamic Host Configuration Protocol • Usado para distribuir automaticamente endereços IP em uma rede local
• Use DH apenas em redes confiáveis • Funciona dentro de um domínio de broadcast
• O RouterOS a ambos DH cliente e servidor 60
DH Client
IP → DH Client 61
DNS • Por padrão o DH client busca pelo endereço IP de servidor DNS
• Pode também ser atribuído manualmente IP → DNS 62
DNS • O RouterOS a entradas estáticas de DNS
• Por padrão existe uma entrada estática do tipo A nomeada 'router.local' a qual aponta para o IP 192.168.88.1
• Isto significa que você pode ar o router usando este nome ao invés do IP – http://router.local IP → DNS → Static 63
DH Server • Automaticamente atribui endereço IP a hosts solicitantes em uma rede local
• Um endereço IP deve ser configurado na mesma interface do DH Server
• Para habilitar use o ‘DH Setup’
64
B LA
DH Server
• Disconecte do router • Reconecte usando o endereço MAC do router
65
B LA
DH Server • Vamos remover a config existente do DH Server atual e criar uma nova config
• Vamos usar seu número (XY) para a subrede (192.168.XY.0/24)
• Para habilitar o DH Server na bridge, devemos configurá-lo na interface bridge (e não nas portas físicas) 66
Remova DH Server
Remova DH Network IP → DH Server
67
B LA
DH Server
Remova IP Pool IP → Pool
Remova IP Address IP → Address 68
B LA
DH Server
Adicione endereço IP 192.168.XY.1/24 na interface bridge
• Exemplo, XY=199 69
B LA
DH Server
1
2
3
4
5
6 IP → DH Server → DH Setup
70
B LA
DH Server
B LA
DH Server • Disconecte do router • Renove o IP do seu notebook • Conecte no router através do novo IP 192.168.XY.1
• Confira a conectividade com a Internet
71
DH Static Leases
Convertendo lease dinâmico para estático
IP → DH Server → Leases 72
ARP • Address Resolution Protocol • O ARP une o endereço IP (L3) do cliente com o endereço MAC (L2)
• O ARP opera dinamicamente • Pode também ser configurado manualmente
73
Tabela ARP • Provê informação sobre endereço IP, endereço MAC e a interface na qual o dispositivo está conectado
IP → ARP
74
ARP estático • Conferem maior segurança na rede • A interface de rede pode ser configurada para 'reply-only' e responder apenas a entradas ARP conhecidas
75
ARP estático
Entrada ARP estática
IP → ARP 76
ARP estático Interface responderá apenas a entradas ARP conhecidas
Interfaces → bridge-local 77
DH e ARP • O DH Server pode adicionar entradas ARP automaticamente
• Combinado com 'leases' estáticos e 'reply-only', o ARP pode elevar a segurança na rede enquanto mantém o uso facilitado pelos usuários
78
DH e ARP
IP → DH Server
Adiciona entradas ARP para os DH leases 79
Módulo 2 Resumo
Certified Network Associate (MTCNA)
Módulo 3 Roteamento
Roteamento • Opera na camada de rede (Layer3 no modelo OSI)
• O roteamento define para onde os pacores devem ser enviados
IP → Routes 82
Roteamento • Dst. Address: redes que podem ser alcançadas
• Gateway: endereço IP do próximo router para se chegar ao destino
IP → Routes 83
Nova Rota Estática
IP → Routes
84
Roteamento • Se existirem duas ou mais rotas direcionando para o mesmo endereço, a mais específica será usada
• • •
Dst: 192.168.90.0/24, gateway: 10.0.0.1 Dst: 192.168.90.128/25, gateway: 10.0.0.2 Se um pacote precisa ser enviado para 192.168.90.135, o gateway 10.0.0.2 será usado
85
Roteamento • Check gateway – a cada 10 segundos envia ou um ICMP echo request (ping) ou um ARP request.
• Se várias rotas usam o mesmo gateway e existe uma rota que tem a opção checkgateway habilitada, então todas as rotas estarão sujeitas ao comportamento do check-gateway 86
Default Gateway • Default gateway: um router (next hop) para qual todo tráfego que não tiver destino definido será enviado
• É reconhecido pela rede de destino 0.0.0.0/0
87
B LA
Default Gateway
• Atualmente o default gateway para seu router foi configurado automaticamente pelo uso do DH-Client
• Remova a rota padrão da tabela em /ip route
• Verifique a conectividade com a Internet (não deve funcionar)
88
• Adicione o default gateway manualmente (router do instrutor)
• Verifique se a conectividade com a Internet está disponível
89
B LA
Default Gateway
Rotas Dinâmicas • Rotas com as flags DAC são adicionadas automaticamente
• Uma rota DAC se origina da configuração do endereço IP IP → Addresses
IP → Routes
90
Route Flags • A - active • C - connected • D - dynamic • S - static
IP → Routes
91
Roteamento Estático • A rota estática define como alcançar uma rede de destino específica
• O rota padrão também é uma rota estática. Ela direciona todo tráfego para o gateway
92
B LA
Roteamento Estático • O objetivo é pingar o notebook do seu vizinho
• Desative o firewall do router em /ip firewall filter e o firewall do PC
• Pergunte ao vizinho o IP de sua interface wireless
• E a subrede da sua LAN (192.168.XY.0/24) 93
B LA
Roteamento Estático • Adicione uma nova rota • Atribua o Dst. Address – endereço de rede da LAN do vizinho (ex. 192.168.55.0/24)
• Atribua o Gateway – o IP da wireless do vizinho (ex. 10.5.120.55)
• Agora você deve conseguir pingar o notebook do seu vizinho 94
Roteamento Estático • Fácil de configurar em redes pequenas • Não é escalável • É necessária configuração manual para cada nova subrede que precisa ser alcançada
95
Módulo 3 Resumo
Certified Network Associate (MTCNA)
Módulo 4 Bridge
Bridge
• Bridges são dispositivos de camada 2 • A bridge é um dispositivo transparente • Tradicionalmente usado para unir dois segmentos de rede
• Uma bridge separa o domínio de colisão em duas partes
• Um switch de rede é uma bridge com múltiplas portas – cada porta é um domínio de colisão 98
Bridge • Todos os hosts podem se comunicar entre si
• Todos compartilham o mesmo domínio de colisão
99
Bridge • Todos os hosts ainda podem se comunicar entre si
• Agora existem 2 domínios de colisão
100
Bridge • O RouterOS implementa software bridge • Interfaces ethernet, wireless, SFP e túneis podem ser adicionadas na bridge
• A config padrão em routers SOHO faz bridge entre a porta wireless e a ether2
• Ether2-5 são combinadas em um switch. Ether2 é a master, 3-5 são slave. 101
Bridge • É possível remover a config do 'switch chip' e usar a bridge
• Sem o uso do 'switch chip', o consumo de U aumenta
• Mais controle – pode-se usar IP firewall para as portas da bridge
102
Bridge Firewall • As interfaces em bridge no RouterOS am firewall
• O tráfego que flue através da bridge pode ser processada pelo firewall
• Para habilitar: Bridge → Settings → Use IP Firewall
103
Bridge Firewall
104
Bridge • Devido a limitações do padrão 802.11, clientes wireless (mode: station) não a bridge
• O RouterOS implementa diversos outros modos para superar esta limitação
105
Wireless Bridge • station bridge - RouterOS com RouterOS • station pseudobridge - RouterOS com outros • station wds (Wireless Distribution System) RouterOS com outros
106
B LA
Bridge
• Vamos criar uma grande bridge em nossa rede
• Todos os notebooks estarão na mesma rede • Nota: cuidado ao unir redes em bridge! • Crie um backup antes de iniciar o LAB!
107
Altere o modo para 'station bridge'
Wireless → wlan1
Desabilite o DH Server IP → DH Server 108
B LA
Bridge
Adicione a interface wireless na bridge
Bridge → Ports
109
B LA
Bridge
B LA
Bridge
• Renove o IP do seu notebook • Você deve adquirir IP do router do instrutor • Pergunte o IP do seu vizinho e tente pingar em seu endereço – No PC, confira o MAC com arp -a
• Seu router está agora em uma bridge transparente 110
B LA
Bridge
• Restaure a configuração do seu router através do backup criado anterior a este LAB
• Ou restaure manualmente :)
111
Módulo 4 Resumo
Certified Network Associate (MTCNA)
Módulo 5 Wireless
Wireless • O MikroTik RouterOS provê e completo aos padrões de rede wireless IEEE 802.11a/n/ac (5GHz) e 802.11b/g/ n (2.4GHz)
114
Padrões Wireless Padrão IEEE
Frequência
Velocidade
802.11a
5GHz
54Mbps
802.11b
2.4GHz
11Mbps
802.11g
2.4GHz
54Mbps
802.11n
2.4 e 5GHz
Até 450 Mbps*
802.11ac
5GHz
Até 1300 Mbps*
Dependendo do modelo de RouterBOARD 115
Canais 2.4GHz
• 13x canais de 22MHz (na maior parte do mundo)
• 3 canais não sobrepostos (1, 6, 11) • 3 APs podem ocupar a mesma área sem interferência 116
Canais 2.4GHz
• US: 11 canais, 14º apenas no Japão • Channel width: ●
802.11b 22MHz, 802.11g 20MHz, 802.11n 20/40MHz 117
Canais 5GHz • O RouterOS a todas as faixas de frequências em 5GHz
• 5180-5320MHz (canais 36-64) • 5500-5720MHz (canais 100-144) • 5745-5825MHz (canais 149-165) • Varia de acordo com a regulamentação dos países 118
Canais 5GHz Padrão IEEE
Channel Width
802.11a
20MHz 20MHz
802.11n 40MHz 20MHz 40MHz 802.11ac 80MHz 160MHz
119
Regulamentação
• Altere para ‘Advanced Mode’ e selecione o país para serem aplicadas as normas previstas 120
Regulamentação • Dynamic Frequency Selection (DFS) é um recurso projetado para identificar radares ao usar a banda de 5GHz e escolher um novo canal caso um radar seja encontrado
• Alguns canais só podem ser utilizados com o uso do DFS (Brasil: 5250-5350 e 5470-5725) 121
Regulamentação • O modo DFS 'radar detect' (anterior à v6.35) irá selecionar um canal com o menor número de redes para uso caso nenhum radar seja detectado por 60s neste canal
Wireless 122
Wireless Chains •
O 802.11n introduziu o conceito de MIMO (Multiple In and Multiple Out)
•
Envia e recebe dados usando múltiplos rádios em paralelo
•
O 802.11n com uma chain (SISO) pode alcançar apenas 72.2Mbps (em cartões antigos, 65Mbps)
123
Tx Power Cartão Wireless
Chains em uso
• Note on implementation of Tx Power on Potência por Chain
RouterOS 1 802.11n 2
Igual à potência selecionada
3 1
Potência Total
Igual à potência selecionada +3dBm +5dBm
Igual à potência selecionada
802.11ac 2
-3dBm
3
-5dBm
124
Igual à potência selecionada
Tx Power • Usado para ajustar a potência de transmissão do cartão wireless
• Mude para 'all rates fixed' e ajuste a potência
Wireless → Tx Power
125
Sensibilidade de Rx • A sensibilidade de recepção é o menor nível de potência no qual a interface consegue detectar um sinal
• A depender do uso planejado, esse valor deve ser levado em consideração ao comparar RouterBOARDS
• Limites menores significa melhor detecção de sinal 126
Rede Wireless AP Instrutor
Estações wireless 127
Access Point • Atribua na interface mode=ap bridge
• Selecione a banda • Atribua a frequência • Atribua o SSID (ID da rede wireless)
• Atribua o Security Profile 128
Radio Name • Um “nome” para a interface wireless • Visível apenas entre RouterOS
129
Registration Table • Veja todas as conexões wireless de todas as interfaces
Wireless → Registration
130
Segurança • Apenas WPA (WiFi Protected Access) ou WPA2 devem ser usadas
• WPA-PSK ou WPA2-PSK com criptografia AES-CCM
131
Segurança • Ambas as chaves WPA e WPA2 podem ser especificadas para permitir conexões de dispositivos que não am WPA2
• Escolha uma chave forte!
Wireless → Security Profiles 132
WPS • WiFi Protected Setup (WPS) é um recurso para ar a ede WiFi de forma conveniente, sem a necessidade de atribuir a chave de autenticação (phrase)
• O RouterOS a ambos os modos 'WPS accept' (AP) e 'WPS client' (station) 133
WPS Accept • Para permitir o a visitantes em seu AP, você pode usaar o botão WPS accept
• Ao pressioná-lo, ele irá garantir o à conexão com o AP por 2min ou até que um dispositivo cliente se conecte
• O botão WPS accept precisa ser pressionado toda vez que um novo dispositivo precisar se conectar 134
WPS Accept • Para cada dispositivo isso precisa ser feito apenas uma vez
• Todo dispositivo RouterOS com interface WiFi tem um botão virtual WPS
• Alguns tem o botão físico 135
Access List
• Usado pelo AP para permitir/gerenciar conexões das estações
• Diversos critérios de identificação como endereço MAC e força do sinal
• Pode determinar autenticação e encaminhamento (forward) das estações
• Condições podem respeitar horários e dias definidos 136
Access List
Wireless → Access List 137
Estação Wireless • Estação wireless é o cliente (notebook, celular, router)
• No RouterOS, modo wireless 'station'
138
Estação Wireless • Atribua na interface mode=station
• Selecione a banda • Atribua o SSID (ID da rede wireless)
• A frequência não é importante para o cliente, scan-list sim 139
Connect List • São regras usadas por estações para selecionar (ou não) um AP
Wireless → Connect List 140
• Atualmente seu router está conectado ao AP da sala
• Crie uma regra para negar a conexão ao AP da sala
141
B LA
Connect List
Snooper • Obtenha uma visão geral as redes wireless na banda selecionada
• A interface wireless é desconectada durante o scaneamento!
• Pode ser usado para escolha do melhor canal
142
Snooper
Wireless → Snooper 143
Default Authenticate
144
Default Authenticate Default Authentication
Entrada Access/ Connect List
Comportamento
+
Baseado nas configurações de access/connect list
-
Autentica
+
Baseado nas configurações de access/connect list
-
Não autentica
✓
✕
145
Default Forward • Usado para permitir ou proibir a comunicação entre estações
146
Módulo 5 Resumo
Certified Network Associate (MTCNA)
Módulo 6 Firewall
Firewall • Um sistema de segurança de rede para proteger a rede interna da externa (ex.: Internet)
• Baseado em regras que são analisadas sequencialmente até que a condição seja atendida
• As regras de firewall no RouterOS são gerenciadas nas sessões Filter e NAT 149
Firewall Rules • Funciona com o princípio SE - ENTÃO • Ordenado em cadeias (chains) • Existem chains pre-definidas • O usuário pode criar novas chains, subordinadas a uma das padrão
150
Firewall Filter • Existem 3 chains padrão • • •
input (para o router) output (a partir do router) forward (através do router) output
input forward 151
Filter Actions
IP → Firewall → Nova regra de Firewall (+) → Action
152
Filter Chains
IP → Firewall
153
Chain: input • Protege o próprio router • Tanto da Internet quanto da rede interna
input
154
B LA
Chain: input • Adicione uma regra de accept na interface bridge para o IP do seu notebook (Src. Address = 192.168.XY.254)
• Adicione uma regra de drop na interface bridge para todo o resto
155
IP → Firewall → Nova regra de Firewall (+)
156
B LA
Chain: input
B LA
Chain: input
• Mude o endereço IP do seu notebook de forma estática para 192.168.XY.199, DNS e gateway: 192.168.XY.1
• Desconecte do router • Tente conectar ao router (não é possível) • Tente navegar à internet (não é possível) 157
B LA
Chain: input • Mesmo o tráfego da Internet sendo controlado pela chain forward, a navegação não é possível
• POR QUE? (resposta no próximo slide)
158
B LA
Chain: input
• Seu notebook está usando o router como servidor DNS
• Conecte no router usando MAC WinBox • Adicione uma regra de accept na interface bridge para permitir as requisições DNS: protocolo “udp”, porta “53”. Mova a regra para acima do drop
• Tente navegar à Internet (funciona) 159
• Volte seu notebook para DH • Conecte-se ao router • Remova todas as regras em /ip firewall filter
160
B LA
Chain: input
Chain: forward • Contém regras que controlam pacotes que atravessam o router
• Controla o tráfego entre cliente e Internet e entre os clientes em si
forward 161
• Adicione uma regra de drop para a porta http (80/t) e https (443/t)
• Para especificar portas, deve-se especificar o protocolo IP também
IP → Firewall → Nova regra (+) 162
B LA
Chain: forward
B LA
Chain: forward • Tente abrir bra.com.br (não é possível)
• Tente abrir o WebFig do router http://router.local (funciona)
• A página web do router funciona porque o tráfego para a página é input e não forward
163
Portas Usadas com Frequência Porta
Serviço
80/t
HTTP
443/t
HTTPS
22/t
SSH
23/t
Telnet
20,21/t
FTP
8291/t
WinBox
5678/udp
MikroTik Neighbor Discovery
20561/udp
MAC WinBox
164
Address List • O address list (listas de IP) permite criar uma regra para vários IPs de uma vez
• É possível adicionar automaticamente IPs a uma address list
• Os IPs podem ser adicionados por tempo indeterminado ou por um tempo predefinido
• O address list pode ter desde um IP, uma faixa de IPs ou uma subrede inteira 165
Address List
IP → Firewall → Address Lists → Nova Address List (+) 166
Firewall Log • Cada regra pode ser logada quando a condição for atendida
• Um prefixo pode ser adicionado ao log para facilitar na busca pelos registros depois
167
Firewall Log
IP → Firewall → Edite a regra → Action 168
NAT • Network Address Translation (NAT) é o método de modificar a origem ou destino de um pacote IP
• Existem dois tipos de NAT - ‘source NAT’ e ‘destination NAT’
169
NAT • O NAT é usualmente utilizado para prover o a internet para uma rede local que usa IPs privados (src-nat)
• Ou para o remoto a algum recurso interno (ex.: servidor web) através da internet, usando redirecionamento de portas (dst-nat)
170
NAT Novo IP de origem
IP de origem
IP privado
Servidor Público
171
NAT Novo IP de destino
IP de destino
Host público
Servidor em rede local
172
NAT • As chains srcnat e dstnat do firewall são usadas para implementar as funcionalidades do NAT
• Similar às regras em Filter, seguem o princípio SE – ENTÃO
• E são analisadas sequencialmente até que a condição da regra seja atendida
173
Dst NAT Novo Dst. address 192.168.1.1:80
Dst. Address 159.148.147.196:80
Host Público
Servidor Web 192.168.1.1
174
Dst NAT
IP → Firewall → NAT → Nova Regra (+) 175
Redirect • Tipo especial do dstnat • Esta ação redireciona os pacotes para o próprio router
• Pode ser usada para criar serviços de proxy transparente (ex. DNS, HTTP)
176
Redirect Endereço de DNS configurado no PC:53
Novo IP de DNS 127.0.0.1:53 DNS Cache
177
B LA
Redirect • Crie uma regra de dstnat para redirecionar toda requisição com destino a porta HTTP (t/80) para a porta 80 do próprio router
• Tente abrir bra.com.br ou qualquer outro site que use o protocolo HTTP
• Quando finalizar, desative ou remova a regra 178
Src NAT Novo IP de origem é IP do router
IP de origem 192.168.199.200
192.168.199.200
•
Servidor Público
O masquerade é um tipo especial do srcnat 179
Src NAT • A ação (action) src-nat tem o propósito de reescrever o endereço e/ou porta do IP de origem
• Exemplo: duas empresas (A e B) se fundiram. Internamente ambas usam a mesma faixa de IP (172.16.0.0/16). Eles vão usar uma nova faixa de IP como “buffer”, ambas as redes (de A e B) vão precisar tanto de regras de src-nat quanto dst-nat 180
NAT Helpers • Alguns protocolos requerem os chamados NAT helpers para funcionarem corretamente em uma rede com NAT
IP → Firewall → Service Ports 181
Connection Tracking • Gerencia informções sobre todas as conexões ativas
• Precisa estar habilitado para o NAT e certas condições e ações (action) do Filter funcionarem
• Nota: connection state ≠ T state 182
Connection Tracking
IP → Firewall → Connections 183
Connections •
New – o pacote está iniciando/abrindo uma nova conexão
•
Established – o pacote pertence a uma conexão conhecida
•
Related – o pacote está iniciando/abrindo uma nova conexão, mas esta tem relação com uma outra conexão conhecida
•
Invalid – o pacote não pertence a nenhuma nas conexões conhecidas 184
Connections
Invalid
Established
New
Related 185
FastTrack • Um médoto para acelerar o fluxo de pacotes no router
• Uma conexão 'established' ou 'related' podem ser marcadas como 'fasttrack connection'
• Bya o firewall, o connection tracking, simple queue e outros recursos
• Atualmente e apenas os protocolos T e UDP 186
FastTrack Sem
Com
360Mbps
890Mbps
Total de uso da U 100%
Total de uso da U 86%
44% em uso pelo firewall
6% em uso pelo firewall
Teste realizado em uma RB2011 com um único fluxo T
• Mais informação na página da wiki FastTrack 187
Módulo 6 Resumo
Certified Network Associate (MTCNA)
Módulo 7 QoS
Quality of Service • QoS é a performande geral de uma rede, particularmente a performance vista pelos usuáros
• O RouterOS implementa diversos métodos de QoS como limite de velocidade (shaping), priorização de tráfego e outros
190
Simple Queue • Pode ser usada para facilmente limitar a velocidade de:
• (↓) do cliente • (↑) do cliente • Velocidade total (↓ + ↑)
191
Simple Queue Especifique o cliente Especifique Max Limit do cliente
Queues → Nova Simple Queue (+)
• Desabilite a regra de FastTrack no Firewall para a Simple Queue funcionar 192
Torch • Monitoramento em tempo real Endereço IP do notebook
Interface
Observe o tráfego Tools → Torch 193
• Crie um limite de velocidade para seu notebook (192.168.XY.254)
• Atribua para 128k e para 256k
• Abra mikrotik.com/ e baixe a versão atual (current) do RouterOS
• Observe a velocidade de 194
B LA
Simple Queue
Simple Queue • Ao invés de limitar o cliente, o tráfego do servidor pode ser limitado também Atribua o Target para qualquer um Atribua Dst. o IP do servidor
195
Queues
• Use o ping para descobrir o IP do site mikrotik.com
• Modifique a simple queue existente para limitar o servidor do site mikrotik.com
• Baixe o MTCNA outline • Observe a velocidade do 196
B LA
Simple Queue
Banda Garantida • Usado para garantir sempre uma banda mínima para o cliente
• O tráfego restante será dividido entre os clientes por demanda
• Controlado pelo parâmetro Limit-at
197
Banda Garantida Atribua o Limit At
Queues → Simple Queue → Edit → Advanced
• O cliente terá a banda garantida de 1Mbit para e 198
Banda Garantida • Exemplo: • • •
Banda Total: 10Mbits 3 clientes, cada um com banda garantida O tráfego restante será dividido entre os clientes
199
Banda Garantida
Queues Banda Garantida
Banda Atual
200
Burst • Usado para permitir velocidade mais alta por um curto período de tempo
• Útil para o tráfego WEB – as páginas carregam mais rápido
• Para de arquivos e streaming os valores em Max Limit ainda prevalecem
201
Burst Atribua o burst limit, threshold e time
Queues → Simple Queue → Edit
202
Burst • Burst limit - max valocidade de / permitida no burst
• Burst time - tempo (seg), no qual a média da velocidade será calculada (NÃO é o período de duração do burst).
• Burst threshold – quando a média da velocidade atinge ou baixa do threshold o burst é desligado ou ligado 203
B LA
Burst
• Modifique a queue criada no LAB anterior • Atribua o burst limit de 512k para e
• Atribua o burst threshold de 256k para e
• Atribua o burst time de 16s para e * Max limit = 256k 204
B LA
Burst
• Abra mikrotik.com, observe a velocidade da abertura da página
• Baixe a versão mais nova do RouterOS em MikroTik
• Observe a velocidade do com a ferramenta torch (/tool torch)
205
Per Connection Queuing •
É um tipo de enfileiramento (queue type) para otimizar a implantação de QoS em massa através do uso de sub-filas (sub-stream)
• •
Substitue múltiplas queue por uma só Diversos classificadores podem ser usados:
• •
Endereço IP de origem/destino Porta de origem/destino 206
Per Connection Queuing • Rate – velocidade máxima disponível para cada sub-fila
• Limit – tamanho da fila de cada sub-fila (KiB)
• Total Limit – volume total de dados enfileirados em todas as sub-filas (KiB)
207
Exemplo de PCQ • Objetivo: limitar todos os clientes a 1Mbps de e 1Mbps de
• Crie 2 novos tipos de fila • •
1 para Dst Address () 1 para Src Address ()
• Atribua as queues para as interfaces LAN e WAN 208
Exemplo de PCQ
Queues → Queue Type → Novo Queue Type (+) 209
Exemplo de PCQ
Interface WAN Interface LAN Queues → Interface Queues 210
Exemplo de PCQ • Todos os clientes conectados na interface LAN terão 1Mbps de e
Tools → Torch 211
B LA
Exemplo de PCQ
• O instrutor irá criar 2 novas queues pcq e limitar todos os clientes (routers dos alunos) a 512Kbps de e
• Tente baixar a nova versão do RouterOS version em mikrotik.com e observe a velocidade de com a ferramenta torch 212
Módulo 7 Resumo
Certified Network Associate (MTCNA)
Módulo 8 Túneis
Protocolo de Ponto-a-Ponto • Point-to-Point Protocol (PPP) é usado para estabelecer um túnel (conexão direta) entre dois nós
• O PPP pode prover autenticação, criptografia e compressão
• O RouterOS a vários túneis PPP como PPPoE, SSTP, PPTP dentre outros 215
IP Pool • Define uma faixa de endereços IP para uso em serviços do RouterOS
• Usado pelo DH, PPP e HotSpot • Os endereços dos clientes são tomados automaticamente do pool
216
IP Pool Atribua nome e faixa de endereço ao pool IP → Pool → Novo IP Pool (+)
217
PPPoE • Point-to-Point over Ethernet é um protocolo de camada 2 usado para controlar o o à rede
• Provê autenticação, criptografia e compressão
• O PPPoE pode ser usada para gerenciar a entrega de IPs para os clientes 218
PPPoE • A maioria dos sistemas operacionais desktop tem o cliente PPPoE instalado por padrão
• O RouterOS a ambos o cliente PPPoE e o servidor PPPoE (concentrador de o)
219
PPP Profile • O profile define regras usadas pelos servidores PPP e seus clientes
• Método de atribuir a mesma configuração a múltiplos clientes
220
PPP Profile Atribua o endereço local e remoto ao túnel É sugerido usar a criptografia
PPP → Profiles → Novo PPP Profile (+) 221
PPP Secret • Banco de dados local dos usuários PPP • Pode-se configurar o usuário, senha e outras configurações específicas
• O restante das configurações são aplicadas pelo PPP profile
• A configuração do PPP secret tem preferência às mesmas correspondentes no PPP profile 222
PPP Secret Atribua usuário, senha e perfil. Especifique o 'service' se necessário
PPP → Secrets → Novo PPP Secret (+) 223
PPPoE Server • O PPPoE server roda em uma interface • Não pode ser configurado em uma interface que faz parte da bridge
• Ou remova a interface da bridge ou atribua o PPPoE server na bridge
• Por questões de segurança você não deve usar um endereço IP na mesma interface do PPPoE server 224
PPPoE Server Atribua o service name, interface, profile e os protocolos de autenticação
225
PPP Status • Informações sobre sessão em questão
PPP → Active Connections 226
PPPoE Client Atribua a interface, service, usuário, senha
PPP → Novo PPPoE Client (+) 227
PPPoE Client • Caso existam mais de um servidor PPPoE em um domínio de broadcast, o 'service name' pode/deve também ser especificado
• Pois o cliente tentará se conectar ao primeiro servidor que lhe responder
228
B LA
PPPoE Client • O instrutor irá criar um PPPoE server em seu router
• Desabilite o DH client em seu router • Configure um PPPoE client na interface WAN do seu router
• Atribua usuário e senha 'mtcna' e usepeer-dns=yes 229
B LA
PPPoE Client • Verifique o status do PPPoE client • Verifique se a conexão à Internet está disponível, corrija o necessário
• Teste sua conectividade com os vizinhos
230
Endereçamento Point-to-Point • Quando a conexão é estabelecida entre cliente e servidor PPP, endereços /32 são atribuídos
• Para o cliente, o endereço de rede (network) é o endereço do gateway (router) e viceversa
231
Endereçamento Point-to-Point • A máscara de subrede não é relevante ao usar endereçamento PPP
• O endereçamento PPP economiza 2 endereços IP
• Se o endereçamento PPP não for ado pelo outro dispositivo, uma subrede /30 deve ser utilizada 232
PPP Tunnel Tunnel
233
PPTP • O PPTP (protocolo de tunelamento ponto-a-ponto) provê túneis criptografados sobre o IP
• Pode ser usado para criar conexões “seguras” entre redes através da Internet
• O RouterOS a ambos o PPTP cliente PPTP server 234
PPTP • Usa porta t/1723 e o protocolo IP de número 47 - GRE (Generic Routing Encapsulation)
• NAT helpers são usados para garantir o e ao PPTP em redes com NAT
235
PPTP Server • O RouterOS provê um setup simples para PPTP server
• Use QuickSet para habilitar o o à VPN Habilite a VPN e atribua o
236
PPTP Client Atribua name, IP do servidor PPTP, name,
PPP → New PPTP Client(+) 237
PPTP Client • Use a opção Add Default Route para enviar todo tráfego do router através do túnel PPTP
• Use rotas estáticas para enviar tráfegos específicos através do túnel PPTP
• Note! PPTP não é considerado seguro – use com cuidado!
• Ao invés, use SSTP, OpenVPN etc. 238
SSTP •
Secure Socket Tunnelling Protocol (SSTP) provê túnel criptografado sobre IP
• •
Usa porta t/443 (a mesma que HTTPS)
•
O SSTP client está disponível no Windows 7 e posterior
O RouterOS a ambos SSTP client e server
239
SSTP •
Para Linux existem implementações Open Source tanto para cliente e servidor
•
Como o tráfego é idêntico ao HTTPS, usualmente o túnel SSTP pode atravessar facilmente os firewalls sem configuração adicional
240
SSTP Client Atribua o name, endereço IP do servidor SSTP, usuário, senha
241
SSTP Client • Use 'Add Default Route' para enviar todo tráfego através do túnel SSTP
• Use rotas estáticas para enviar tráfegos específicos através do túnel SSTP
242
SSTP Client • Não é necesário usar certificados para conectar dois dispositivos RouterOS
• Para conectar pelo Windows, é necessário um certificado válido
• Pode ser emitido por uma entidade certificadora – certificate authority (CA)
243
B LA
SSTP
• Junte-se com seu vizinho • O router A cria o servidor VPN e um ‘secret’. Router B cria o cliente VPN.
• Utilizem ‘secrets’ com local-address e remote-address diferentes de qualquer outro IP existente nos routers.
244
B LA
SSTP
• Verifique as regras de firewall. Lembre que o SSTP usa porta t/443
• Ping o notebook do seu vizinho a partir do seu notebook (não pinga)
• POR QUE? (resposta a seguir)
245
B LA
SSTP
• Não há rotas para a rede interna do seu vizinho
• Ambos devem criar rotas estaticas para a rede 192.168.XY.0/24 do outro
• Testem a comunicação entre notebooks usando ping e traceroute (deve funcionar)
246
PPP • PPPoE, PPTP, SSTP e outros protocolos de túneis são abordados com mais detalhes em implementação cliente e servidor nos cursos de certificação MikroTik MTCRE, MTCINE e MTCUME.
• Para mais informação: http://mikrotik.com/training
247
Módulo 8 Resumo
Certified Network Associate (MTCNA)
Módulo 9 Diversos
RouterOS Tools • O RouterOS provê diversas ferramentos que ajudam a istrar e monitorar o router com mais eficiência
250
E-mail • Permite enviar e-mails a partir do router
• Exemplo para enviar backup do router
Tools → Email
/export file=export /tool e-mail send [email protected]\ subject="$[/system identity get name] export"\ body="$[/system clock get date]\ configuration file" file=export.rsc
Script para gerar arquivo export e enviá-lo por e-mail 251
i pc O
a on
B LA
l
E-mail • • •
Configure seu servidor SMTP no router Exporte a configuração do seu router Envie o arquivo gerado para seu e-mail a partir do RouterOS
252
Netwatch •
Monitora o status de hosts na rede
•
Envia ICMP echo request (ping)
•
Pode executar scripts quando o host parar de responder e quando voltar a responder Tools → Netwatch 253
Ping •
Usado para testar a alcansabilidade de um host numa rede IP
•
Usado para medir a latência (round trip time) entre os hosts de origem e destino
•
Envia pacotes ICMP echo request 254
Tools → Ping
•
Ping o IP do seu notebook a partir do router
•
Clique em ‘New Window’ e ping mikrotik.com a partir do router
•
Observe a diferença na latência
255
B LA
Ping
Traceroute •
Ferramenta para diagnóstico de rede que exibe a rota (caminho) de pacotes através de uma rede IP
•
Pode usar protocolo icmp ou udp Tools → Traceroute 256
•
Escolha um site hospedado no Brasil e faça um traceroute para ele
•
Clique em ‘New Window’ e faça um traceroute para mikrotik.com
•
Observe a diferença entre as rotas
257
B LA
Traceroute
Profile •
Exibe o uso de U em tempo real para cada processo rodando no RouterOS
• •
idle - U ociosa
Tools → Profile
Mais info na página wiki do Profiler
258
Interface Traffic Monitor •
Status em tempo real do tráfego na interface
•
Disponível na aba “Traffic” de cada interface
•
ível também via WegFig ou terminal
259
Interfaces → wlan1 → Traffic
Torch • •
Monitoramento em tempo real
•
Pode classificar o tráfego monitorado por nome do protocolo IP, endereços de origem/destino (IPv4/IPv6), número da porta etc.
Usada para monitorar o fluxo de dados através da interface
260
Torch Tools → Torch
•
Fluxo de dados do notebook para o web server em mikrotik.com usando a porta HTTPS como filtro 261
System Logs •
Por padrão o RouterOS faz logs de informções sobre o router
• •
Armazenados em memória
•
Podem ser armazenados em disk Ou enviados a um servidor de syslog 262
System → Logging
System Logs •
Para habilitar logs detalhados (debug), crie uma nova regra
•
Adicione o tópico debug
System → Logging → Nova Regra de Log
263
Gráficos •
O RouterOS pode gerar gráficos que exibem quanto tráfego ou por uma interface ou queue
•
Pode exibir o uso de U, memória e disco
•
Para cada medição existem 4 gráficos – daily (diário), weekly (semanal), monthly (mensal) e yearly (anual) 264
Gráficos Atribua uma interface em específico ou deixe “all” para todas, atribua as origens IP que terão o aos gráficos
Tools → Graphing 265
Gráficos
•
Disponível no router: http://ip_do_router/graphs 266
Gráficos
267
io pc O
l na
B LA
Gráficos •
Habilite os gráficos para interface, queue e resource em seu router
• •
Observe os gráficos
•
Observe os gráficos
Faça de um arquivo grande na Internet
268
SNMP •
Simple Network Management Protocol (SNMP)
•
Usado para monitorar e gerenciar dispositivos
• •
O RouterOS a SNMP v1, v2 e v3 O e à escrita no SNMP é disponível apenas para algumas configurações
269
SNMP
IP → SNMP 270
The Dude •
Aplicação da MikroTik que pode otimizar dramaticamente a maneira como você gerencia seu ambiente de rede
•
Automaticamente descobre e desenha o mapa de dispositivos
• •
Monitoramento de serviços e alertas Gratuito
271
The Dude •
a monitoramento SNMP, ICMP, DNS e T
•
Dude Server roda no RouterOS (TILE, ARM, MMIPS, CHR ou x86)
•
Dude Client no Windows (funciona no Linux e OSX usando Wine)
•
Mais info ver na wiki The Dude
272
The Dude
273
i pc O
a on
B LA
l
The Dude •
Faça o do cliente Dude para Windows em mikrotik.com/
•
Instale e conecte-se ao servidor demo: dude.mt.lv
•
Observe o Dude
274
i pc O
a on
B LA
l
The Dude
275
Contatando o e •
Para que o e da MikroTik ajude melhor, alguns os devem ser seguidos antes de contatar o e
•
Crie o arquivo de saída para e (supout.rif)
276
Contatando o e •
Um arquivo chamado autosupout.rif pode ser criado automaticamente em caso se falha de hardware ou malfuncionamento
• •
Gerenciado pelo processo Watchdog
•
Mais info em Output File e Watchdog
Antes de enviá-lo à MikroTik, o conteúdo dos arquivos (.rif) podem ser visualizados em sua conta mikrotik.com
277
Contatando o e •
Antes de entrar em contato [email protected] verifique os seguintes recursos
•
wiki.mikrotik.com - Documentação e exemplos do RouterOS
•
forum.mikrotik.com - Fórum para comunicação entre usuários do RouterOS
•
mum.mikrotik.com - Página do MikroTik Meeting – vídeos das apresentações 278
Contatando o e •
Sugerimos adicionar comentários significativos às suas regras e itens
•
Descreva de forma detalhada para que a MikroTik possa ajudar melhor
• •
Inclua o diagrama da rede Mais info na página do
279
Módulo 9 Resumo
MTCNA Resumo
Exame de Certificação •
Se necessário, resete seu router e restaure um backup
•
Certifique-se que tem o ao portal de treinamento em mikrotik.com
• • •
Faça na sua conta Entre em “my training sessions” Boa sorte! 282
Sobre o Instrutor Leonardo Rosa
•
Consultor em Internetworking desde 2006.
•
Instrutor MikroTik desde 2012, certificado na Polônia.
•
Ministra cursos e treinamentos nas certificações MTCNA, MTCRE, MTCINE, MTCWE, MTCTCE, MTCUME e MTCIPv6E. 2
Objetivos do Curso •
Promover uma visão geral do software RouterOS e dos produtos RouterBOARD
•
Treinamento prático em configurações MikroTik, manutenção e resolução de problemas básicos
3
Aprendizado Esperado O estudante irá:
•
Se habilitar a configurar, gerenciar e solucionar problemas básicos em dispositivos MikroTik RouterOS
•
Se habilitar a prover serviços básicos a clientes
•
Ter uma base sólida e ferramentas valiosas para gerenciar uma rede 4
Cursos de Certificação MikroTik MTCNA
MTCRE
MTCWE
MTCTCE
MTCUME
MTCIPv6E
MTCINE
Mais informação em: mikrotik.com/training 5
MTCNA Outline • Módulo 1: Introdução • Módulo 2: DH • Módulo 3: Roteamento • Módulo 4: Bridge • Módulo 5: Wireless • Módulo 6: Firewall 6
MTCNA Outline • Módulo 7: QoS • Módulo 8: Túneis • Módulo 9: Diversos • LABs práticos durante cada módulo • Outline detalhada disponível em mikrotik.com
7
Agenda • Treinamento: das 9h às 18h • 1 hora de almoço: 12h • Coffee-break à tarde de 30 minutos: 15h30 • Exame de certificação: último dia, 1 hora
8
Serviços locais • Saída de emergência: mesma principal • Banheiros no corredor • Café e água dentro da sala
9
Gentileza •
Colocar telefone em “silêncio” e atender chamadas apenas fora da sala
• • • •
Silenciar o áudio do PC Faça perguntas! Abra um bloco de notas Anote seu número “XY”
10
Apresentações • Seu Nome e Empresa • Seu conhecimento sobre redes • Sua experiência com o RouterOS • Expectativas com este curso
11
Certified Network Associate (MTCNA)
Módulo 1 Introdução
Sobre a MikroTik • Fabricante de software e hardware para roteadores
• Produtos usados por ISPs, empresas e residências
• Missão: tornar as tecnologias da Internet mais rápidas, mais poderosas e íveis a uma faixa maior de usuários 13
Sobre a MikroTik • 1996: Estabelecida • 1997: Soft. RouterOS para x86 (PC) • 2002: Primeira RouterBOARD • 2006: Primeiro MUM (MikroTik Meeting) - Praga, República Checa
• 2017: Maior MUM: Indonésia, 3000+ 14
Sobre a MikroTik • Situada na Letônia • Mais de 160 funcionários
• mikrotik.com • routerboard.com
15
MikroTik RouterOS • É o sistema operacional do hardware RouterBOARD da MikroTik
• Pode também ser instalado em um PC ou como máquina virtual (VM)
• SO independente baseado no kernel Linux (atualmente 3.3.5)
16
Recursos RouterOS • e completo a 802.11 a/b/g/n/ac • Firewall/controle de banda • Tunelamento Ponto-a-Ponto (PPTP, PPPoE, SSTP, OpenVPN)
• DH/Proxy/HotSpot • Muito mais, ver em: wiki.mikrotik.com 17
MikroTik RouterBOARD • Uma família de soluções em hardware criada pela MikroTik que roda o RouterOS
• Variando desde routers residenciais à concentradores de o de grande porte
• Milhões de RouterBOARDs estão atualmente roteando o mundo 18
MikroTik RouterBOARD • Soluções integradas – prontas para uso • Apenas placas – para montagem de sistema próprio ou personalizado
• Cases – para montagens personalizadas da RouterBOARD
• Interfaces – para expandir funcionalidades • órios 19
Primeiro o • Cabo null modem • Cabo ethernet • WiFi Cabo Ethernet
Cabo Null Modem WiFi
20
Primeiro o • Emulador de terminal, em caso de conexão por porta serial
• Telnet • SSH • WebFig • WinBox - mikrotik.com/ 21
WinBox • Endereço IP padrão (LAN): 192.168.88.1
• Usuário: • Senha: (em branco)
22
B LA
MAC WinBox • Observe a barra de título do WinBox
quando conectado usando o endereço IP
• Conecte ao router usando o endereço MAC
• Observe a barra novamente 23
• Desabilite o endereço IP na interface bridge
• Tente logar no router usando o endereço IP (não é possível)
• Tente logar no router usando o MAC WinBox (funciona)
24
B LA
MAC WinBox
B LA
MAC WinBox • Habilite o endereço IP na interface bridge
• Logue no router usando o endereço IP
25
WebFig • Navegador - http://192.168.88.1
26
Quick Set • Configuração basica do router em uma única janela
• ível por WinBox e WebFig • Descrito com mais detalhes no curso “Introdução ao MikroTik RouterOS e RouterBOARDs”
27
Quick Set
28
Configuração Padrão • Diversas configurações são aplicadas • Para mais informação veja a página configuração padrão
• Exemplo: SOHO routers - DH client na Ether1, DH server no resto das portas + WiFi
• Pode ser descartada e o router ficará em “branco” 29
Linha de Comando • Disponível via SSH, Telnet ou ‘New Terminal’ no WinBox e WebFig
30
Linha de Comando •
• ‘?’ mostra a ajuda • Navegue através dos comandos anteriores com as setas <↑>, <↓>
31
Linha de Comando • Estrutura hierarquica (similar ao menu do WinBox)
• Mais info na página console da wiki
No WinBox: menu Interfaces 32
AP da sala notebook
seu router
192.168.88.1
33
B LA
o à Internet
• Conecte o notebook ao router com o cabo plugando-o na ether3
• Desabilite outras interfaces (wireless) em seu notebook
• Certifique-se que a interface Ethernet está em DH
34
B LA
Notebook - Router
• O gateway da Internet da sala está ível na rede sem-fio via AP (access point) AP da sala notebook
seu router
192.168.88.1 35
B LA
Router - Internet
• Para se conectar no AP você precisará:
•
Atribuir a interface wireless ao modo “station” e ssid “MTCNA”
•
E remover/desabilitar a wireless da interface bridge (usada na “default configuration”)
36
B LA
Router - Internet
• Para ter internet na RB e no PC você precisará:
•
Configurar o DH client para a interface wireless
•
E incluir a wlan1 na lista WAN de interfaces (/interface list member)
37
B LA
Router - Internet
Remova/ desabilite a interface WiFi da interface bridge
Bridge → Ports
38
B LA
Router - Internet
DH client na interface WiFi IP → DH Client
39
B LA
Router - Internet
Configure masquerade na interface WiFi IP → Firewall → NAT
40
B LA
Router - Internet
• Ping www.mikrotik.com do seu notebook
41
B LA
Conferindo a Conectividade
Troubleshooting • O router não pinga além do AP • O router não resolve nomes • O notebook não pinga além do router • O notebook não resolve nomes • A regra masquerade não funciona 42
RouterOS Releases • Long-term (bugfix) – correções, sem novos recursos
• Stable (current) – mesmas correções + novos recursos
• Testing (release candidate) – versões beta e RC)
43
Atualizando o RouterOS • Maneira mais fácil
System → Packages → Check For Updates 44
Gerenciando Pacotes • As funções do RouterOS são habilitadas/desabilitadas através dos pacotes
System → Packages 45
Pacotes do RouterOS Pacote
Funcionalidade
advanced-tools
Netwatch, wake-on-LAN
dh
Servidor e cliente DH
hotspot
Servidor de Captive Portal
ipv6
e ao IPv6
ppp
Servidor e cliente de PPP, PPTP, L2TP, PPPoE
routing
Roteamento dinâmico: RIP, BGP, OSPF
security
Winbox seguro, SSH, IPsec
system
Recursos básicos: roteamento estático, firewall, bridging, etc.
wireless
e à 802.11 a/b/g/n/ac, CAPsMAN v2 46
B LA
Gerenciando Pacotes • Desabilite o pacote wireless • Reinicie o router • Observe a lista de interfaces • Habilite o pacote wireless • Reinicie o router • Verifique/corrija sua internet 47
RouterBOOT
System → Routerboard
• Mais info na página da wiki RouterBOOT 48
Netinstall • Usado para instalar e reinstalar o RouterOS
• É necessária uma conexão de rede direta com o router (pode ser através de switch)
• O cabo sempre na porta PoE • Roda no Windows • Mais info em na página Netinstall 49
Netinstall
• Disponível em www.mikrotik.com/ 50
RouterOS s
System → s
51
Backup da Configuração • Existem dois tipos de backup • Arquivo Backup (.backup) – usado para restaurar a configuração no mesmo router
• Arquivo Export (.rsc) – usado para mover a configuração para outro router
52
Reset Configuration • Resetar para a default configuration • Manter os usuários do RouterOS após o reset
• Resetar o router sem qualquer configuração (em branco)
• Rodar um script após o reset System → Reset Configuration 53
• Crie um arquivo .backup • Resete a config do router (vai perder o à internet)
• Restaure a configuração do router (o o à internet volta)
54
B LA
Backup da Configuração
io pc O
l na
B LA
Backup via Export
• Crie um arquivo .rsc (comando “export”) • Resete a config do router completamente • Importe a config do arquivo com o comando /import <arquivo.rsc>
55
Licenças RouterOS • Toda RouterBOARD embarca uma licença
• Diferentes níveis de licença (recursos)
• Atualizações ilimitadas • Licença para x86 pode ser comprada em mikrotik.com ou com distribuidores 56
System → License
Licenças RouterOS Nível
Tipos
Usos
0
Trial Mode
24h trial
1
Free Demo
3
E
Wireless client (station), volume only
4
AP
Wireless AP: WISP, CASA, Escritório
5
ISP
a mais túneis que a L4
6
Controller
Recursos do RouterOS ilimitados
57
Módulo 1 Resumo
Certified Network Associate (MTCNA)
Módulo 2 DH
DH • Dynamic Host Configuration Protocol • Usado para distribuir automaticamente endereços IP em uma rede local
• Use DH apenas em redes confiáveis • Funciona dentro de um domínio de broadcast
• O RouterOS a ambos DH cliente e servidor 60
DH Client
IP → DH Client 61
DNS • Por padrão o DH client busca pelo endereço IP de servidor DNS
• Pode também ser atribuído manualmente IP → DNS 62
DNS • O RouterOS a entradas estáticas de DNS
• Por padrão existe uma entrada estática do tipo A nomeada 'router.local' a qual aponta para o IP 192.168.88.1
• Isto significa que você pode ar o router usando este nome ao invés do IP – http://router.local IP → DNS → Static 63
DH Server • Automaticamente atribui endereço IP a hosts solicitantes em uma rede local
• Um endereço IP deve ser configurado na mesma interface do DH Server
• Para habilitar use o ‘DH Setup’
64
B LA
DH Server
• Disconecte do router • Reconecte usando o endereço MAC do router
65
B LA
DH Server • Vamos remover a config existente do DH Server atual e criar uma nova config
• Vamos usar seu número (XY) para a subrede (192.168.XY.0/24)
• Para habilitar o DH Server na bridge, devemos configurá-lo na interface bridge (e não nas portas físicas) 66
Remova DH Server
Remova DH Network IP → DH Server
67
B LA
DH Server
Remova IP Pool IP → Pool
Remova IP Address IP → Address 68
B LA
DH Server
Adicione endereço IP 192.168.XY.1/24 na interface bridge
• Exemplo, XY=199 69
B LA
DH Server
1
2
3
4
5
6 IP → DH Server → DH Setup
70
B LA
DH Server
B LA
DH Server • Disconecte do router • Renove o IP do seu notebook • Conecte no router através do novo IP 192.168.XY.1
• Confira a conectividade com a Internet
71
DH Static Leases
Convertendo lease dinâmico para estático
IP → DH Server → Leases 72
ARP • Address Resolution Protocol • O ARP une o endereço IP (L3) do cliente com o endereço MAC (L2)
• O ARP opera dinamicamente • Pode também ser configurado manualmente
73
Tabela ARP • Provê informação sobre endereço IP, endereço MAC e a interface na qual o dispositivo está conectado
IP → ARP
74
ARP estático • Conferem maior segurança na rede • A interface de rede pode ser configurada para 'reply-only' e responder apenas a entradas ARP conhecidas
75
ARP estático
Entrada ARP estática
IP → ARP 76
ARP estático Interface responderá apenas a entradas ARP conhecidas
Interfaces → bridge-local 77
DH e ARP • O DH Server pode adicionar entradas ARP automaticamente
• Combinado com 'leases' estáticos e 'reply-only', o ARP pode elevar a segurança na rede enquanto mantém o uso facilitado pelos usuários
78
DH e ARP
IP → DH Server
Adiciona entradas ARP para os DH leases 79
Módulo 2 Resumo
Certified Network Associate (MTCNA)
Módulo 3 Roteamento
Roteamento • Opera na camada de rede (Layer3 no modelo OSI)
• O roteamento define para onde os pacores devem ser enviados
IP → Routes 82
Roteamento • Dst. Address: redes que podem ser alcançadas
• Gateway: endereço IP do próximo router para se chegar ao destino
IP → Routes 83
Nova Rota Estática
IP → Routes
84
Roteamento • Se existirem duas ou mais rotas direcionando para o mesmo endereço, a mais específica será usada
• • •
Dst: 192.168.90.0/24, gateway: 10.0.0.1 Dst: 192.168.90.128/25, gateway: 10.0.0.2 Se um pacote precisa ser enviado para 192.168.90.135, o gateway 10.0.0.2 será usado
85
Roteamento • Check gateway – a cada 10 segundos envia ou um ICMP echo request (ping) ou um ARP request.
• Se várias rotas usam o mesmo gateway e existe uma rota que tem a opção checkgateway habilitada, então todas as rotas estarão sujeitas ao comportamento do check-gateway 86
Default Gateway • Default gateway: um router (next hop) para qual todo tráfego que não tiver destino definido será enviado
• É reconhecido pela rede de destino 0.0.0.0/0
87
B LA
Default Gateway
• Atualmente o default gateway para seu router foi configurado automaticamente pelo uso do DH-Client
• Remova a rota padrão da tabela em /ip route
• Verifique a conectividade com a Internet (não deve funcionar)
88
• Adicione o default gateway manualmente (router do instrutor)
• Verifique se a conectividade com a Internet está disponível
89
B LA
Default Gateway
Rotas Dinâmicas • Rotas com as flags DAC são adicionadas automaticamente
• Uma rota DAC se origina da configuração do endereço IP IP → Addresses
IP → Routes
90
Route Flags • A - active • C - connected • D - dynamic • S - static
IP → Routes
91
Roteamento Estático • A rota estática define como alcançar uma rede de destino específica
• O rota padrão também é uma rota estática. Ela direciona todo tráfego para o gateway
92
B LA
Roteamento Estático • O objetivo é pingar o notebook do seu vizinho
• Desative o firewall do router em /ip firewall filter e o firewall do PC
• Pergunte ao vizinho o IP de sua interface wireless
• E a subrede da sua LAN (192.168.XY.0/24) 93
B LA
Roteamento Estático • Adicione uma nova rota • Atribua o Dst. Address – endereço de rede da LAN do vizinho (ex. 192.168.55.0/24)
• Atribua o Gateway – o IP da wireless do vizinho (ex. 10.5.120.55)
• Agora você deve conseguir pingar o notebook do seu vizinho 94
Roteamento Estático • Fácil de configurar em redes pequenas • Não é escalável • É necessária configuração manual para cada nova subrede que precisa ser alcançada
95
Módulo 3 Resumo
Certified Network Associate (MTCNA)
Módulo 4 Bridge
Bridge
• Bridges são dispositivos de camada 2 • A bridge é um dispositivo transparente • Tradicionalmente usado para unir dois segmentos de rede
• Uma bridge separa o domínio de colisão em duas partes
• Um switch de rede é uma bridge com múltiplas portas – cada porta é um domínio de colisão 98
Bridge • Todos os hosts podem se comunicar entre si
• Todos compartilham o mesmo domínio de colisão
99
Bridge • Todos os hosts ainda podem se comunicar entre si
• Agora existem 2 domínios de colisão
100
Bridge • O RouterOS implementa software bridge • Interfaces ethernet, wireless, SFP e túneis podem ser adicionadas na bridge
• A config padrão em routers SOHO faz bridge entre a porta wireless e a ether2
• Ether2-5 são combinadas em um switch. Ether2 é a master, 3-5 são slave. 101
Bridge • É possível remover a config do 'switch chip' e usar a bridge
• Sem o uso do 'switch chip', o consumo de U aumenta
• Mais controle – pode-se usar IP firewall para as portas da bridge
102
Bridge Firewall • As interfaces em bridge no RouterOS am firewall
• O tráfego que flue através da bridge pode ser processada pelo firewall
• Para habilitar: Bridge → Settings → Use IP Firewall
103
Bridge Firewall
104
Bridge • Devido a limitações do padrão 802.11, clientes wireless (mode: station) não a bridge
• O RouterOS implementa diversos outros modos para superar esta limitação
105
Wireless Bridge • station bridge - RouterOS com RouterOS • station pseudobridge - RouterOS com outros • station wds (Wireless Distribution System) RouterOS com outros
106
B LA
Bridge
• Vamos criar uma grande bridge em nossa rede
• Todos os notebooks estarão na mesma rede • Nota: cuidado ao unir redes em bridge! • Crie um backup antes de iniciar o LAB!
107
Altere o modo para 'station bridge'
Wireless → wlan1
Desabilite o DH Server IP → DH Server 108
B LA
Bridge
Adicione a interface wireless na bridge
Bridge → Ports
109
B LA
Bridge
B LA
Bridge
• Renove o IP do seu notebook • Você deve adquirir IP do router do instrutor • Pergunte o IP do seu vizinho e tente pingar em seu endereço – No PC, confira o MAC com arp -a
• Seu router está agora em uma bridge transparente 110
B LA
Bridge
• Restaure a configuração do seu router através do backup criado anterior a este LAB
• Ou restaure manualmente :)
111
Módulo 4 Resumo
Certified Network Associate (MTCNA)
Módulo 5 Wireless
Wireless • O MikroTik RouterOS provê e completo aos padrões de rede wireless IEEE 802.11a/n/ac (5GHz) e 802.11b/g/ n (2.4GHz)
114
Padrões Wireless Padrão IEEE
Frequência
Velocidade
802.11a
5GHz
54Mbps
802.11b
2.4GHz
11Mbps
802.11g
2.4GHz
54Mbps
802.11n
2.4 e 5GHz
Até 450 Mbps*
802.11ac
5GHz
Até 1300 Mbps*
Dependendo do modelo de RouterBOARD 115
Canais 2.4GHz
• 13x canais de 22MHz (na maior parte do mundo)
• 3 canais não sobrepostos (1, 6, 11) • 3 APs podem ocupar a mesma área sem interferência 116
Canais 2.4GHz
• US: 11 canais, 14º apenas no Japão • Channel width: ●
802.11b 22MHz, 802.11g 20MHz, 802.11n 20/40MHz 117
Canais 5GHz • O RouterOS a todas as faixas de frequências em 5GHz
• 5180-5320MHz (canais 36-64) • 5500-5720MHz (canais 100-144) • 5745-5825MHz (canais 149-165) • Varia de acordo com a regulamentação dos países 118
Canais 5GHz Padrão IEEE
Channel Width
802.11a
20MHz 20MHz
802.11n 40MHz 20MHz 40MHz 802.11ac 80MHz 160MHz
119
Regulamentação
• Altere para ‘Advanced Mode’ e selecione o país para serem aplicadas as normas previstas 120
Regulamentação • Dynamic Frequency Selection (DFS) é um recurso projetado para identificar radares ao usar a banda de 5GHz e escolher um novo canal caso um radar seja encontrado
• Alguns canais só podem ser utilizados com o uso do DFS (Brasil: 5250-5350 e 5470-5725) 121
Regulamentação • O modo DFS 'radar detect' (anterior à v6.35) irá selecionar um canal com o menor número de redes para uso caso nenhum radar seja detectado por 60s neste canal
Wireless 122
Wireless Chains •
O 802.11n introduziu o conceito de MIMO (Multiple In and Multiple Out)
•
Envia e recebe dados usando múltiplos rádios em paralelo
•
O 802.11n com uma chain (SISO) pode alcançar apenas 72.2Mbps (em cartões antigos, 65Mbps)
123
Tx Power Cartão Wireless
Chains em uso
• Note on implementation of Tx Power on Potência por Chain
RouterOS 1 802.11n 2
Igual à potência selecionada
3 1
Potência Total
Igual à potência selecionada +3dBm +5dBm
Igual à potência selecionada
802.11ac 2
-3dBm
3
-5dBm
124
Igual à potência selecionada
Tx Power • Usado para ajustar a potência de transmissão do cartão wireless
• Mude para 'all rates fixed' e ajuste a potência
Wireless → Tx Power
125
Sensibilidade de Rx • A sensibilidade de recepção é o menor nível de potência no qual a interface consegue detectar um sinal
• A depender do uso planejado, esse valor deve ser levado em consideração ao comparar RouterBOARDS
• Limites menores significa melhor detecção de sinal 126
Rede Wireless AP Instrutor
Estações wireless 127
Access Point • Atribua na interface mode=ap bridge
• Selecione a banda • Atribua a frequência • Atribua o SSID (ID da rede wireless)
• Atribua o Security Profile 128
Radio Name • Um “nome” para a interface wireless • Visível apenas entre RouterOS
129
Registration Table • Veja todas as conexões wireless de todas as interfaces
Wireless → Registration
130
Segurança • Apenas WPA (WiFi Protected Access) ou WPA2 devem ser usadas
• WPA-PSK ou WPA2-PSK com criptografia AES-CCM
131
Segurança • Ambas as chaves WPA e WPA2 podem ser especificadas para permitir conexões de dispositivos que não am WPA2
• Escolha uma chave forte!
Wireless → Security Profiles 132
WPS • WiFi Protected Setup (WPS) é um recurso para ar a ede WiFi de forma conveniente, sem a necessidade de atribuir a chave de autenticação (phrase)
• O RouterOS a ambos os modos 'WPS accept' (AP) e 'WPS client' (station) 133
WPS Accept • Para permitir o a visitantes em seu AP, você pode usaar o botão WPS accept
• Ao pressioná-lo, ele irá garantir o à conexão com o AP por 2min ou até que um dispositivo cliente se conecte
• O botão WPS accept precisa ser pressionado toda vez que um novo dispositivo precisar se conectar 134
WPS Accept • Para cada dispositivo isso precisa ser feito apenas uma vez
• Todo dispositivo RouterOS com interface WiFi tem um botão virtual WPS
• Alguns tem o botão físico 135
Access List
• Usado pelo AP para permitir/gerenciar conexões das estações
• Diversos critérios de identificação como endereço MAC e força do sinal
• Pode determinar autenticação e encaminhamento (forward) das estações
• Condições podem respeitar horários e dias definidos 136
Access List
Wireless → Access List 137
Estação Wireless • Estação wireless é o cliente (notebook, celular, router)
• No RouterOS, modo wireless 'station'
138
Estação Wireless • Atribua na interface mode=station
• Selecione a banda • Atribua o SSID (ID da rede wireless)
• A frequência não é importante para o cliente, scan-list sim 139
Connect List • São regras usadas por estações para selecionar (ou não) um AP
Wireless → Connect List 140
• Atualmente seu router está conectado ao AP da sala
• Crie uma regra para negar a conexão ao AP da sala
141
B LA
Connect List
Snooper • Obtenha uma visão geral as redes wireless na banda selecionada
• A interface wireless é desconectada durante o scaneamento!
• Pode ser usado para escolha do melhor canal
142
Snooper
Wireless → Snooper 143
Default Authenticate
144
Default Authenticate Default Authentication
Entrada Access/ Connect List
Comportamento
+
Baseado nas configurações de access/connect list
-
Autentica
+
Baseado nas configurações de access/connect list
-
Não autentica
✓
✕
145
Default Forward • Usado para permitir ou proibir a comunicação entre estações
146
Módulo 5 Resumo
Certified Network Associate (MTCNA)
Módulo 6 Firewall
Firewall • Um sistema de segurança de rede para proteger a rede interna da externa (ex.: Internet)
• Baseado em regras que são analisadas sequencialmente até que a condição seja atendida
• As regras de firewall no RouterOS são gerenciadas nas sessões Filter e NAT 149
Firewall Rules • Funciona com o princípio SE - ENTÃO • Ordenado em cadeias (chains) • Existem chains pre-definidas • O usuário pode criar novas chains, subordinadas a uma das padrão
150
Firewall Filter • Existem 3 chains padrão • • •
input (para o router) output (a partir do router) forward (através do router) output
input forward 151
Filter Actions
IP → Firewall → Nova regra de Firewall (+) → Action
152
Filter Chains
IP → Firewall
153
Chain: input • Protege o próprio router • Tanto da Internet quanto da rede interna
input
154
B LA
Chain: input • Adicione uma regra de accept na interface bridge para o IP do seu notebook (Src. Address = 192.168.XY.254)
• Adicione uma regra de drop na interface bridge para todo o resto
155
IP → Firewall → Nova regra de Firewall (+)
156
B LA
Chain: input
B LA
Chain: input
• Mude o endereço IP do seu notebook de forma estática para 192.168.XY.199, DNS e gateway: 192.168.XY.1
• Desconecte do router • Tente conectar ao router (não é possível) • Tente navegar à internet (não é possível) 157
B LA
Chain: input • Mesmo o tráfego da Internet sendo controlado pela chain forward, a navegação não é possível
• POR QUE? (resposta no próximo slide)
158
B LA
Chain: input
• Seu notebook está usando o router como servidor DNS
• Conecte no router usando MAC WinBox • Adicione uma regra de accept na interface bridge para permitir as requisições DNS: protocolo “udp”, porta “53”. Mova a regra para acima do drop
• Tente navegar à Internet (funciona) 159
• Volte seu notebook para DH • Conecte-se ao router • Remova todas as regras em /ip firewall filter
160
B LA
Chain: input
Chain: forward • Contém regras que controlam pacotes que atravessam o router
• Controla o tráfego entre cliente e Internet e entre os clientes em si
forward 161
• Adicione uma regra de drop para a porta http (80/t) e https (443/t)
• Para especificar portas, deve-se especificar o protocolo IP também
IP → Firewall → Nova regra (+) 162
B LA
Chain: forward
B LA
Chain: forward • Tente abrir bra.com.br (não é possível)
• Tente abrir o WebFig do router http://router.local (funciona)
• A página web do router funciona porque o tráfego para a página é input e não forward
163
Portas Usadas com Frequência Porta
Serviço
80/t
HTTP
443/t
HTTPS
22/t
SSH
23/t
Telnet
20,21/t
FTP
8291/t
WinBox
5678/udp
MikroTik Neighbor Discovery
20561/udp
MAC WinBox
164
Address List • O address list (listas de IP) permite criar uma regra para vários IPs de uma vez
• É possível adicionar automaticamente IPs a uma address list
• Os IPs podem ser adicionados por tempo indeterminado ou por um tempo predefinido
• O address list pode ter desde um IP, uma faixa de IPs ou uma subrede inteira 165
Address List
IP → Firewall → Address Lists → Nova Address List (+) 166
Firewall Log • Cada regra pode ser logada quando a condição for atendida
• Um prefixo pode ser adicionado ao log para facilitar na busca pelos registros depois
167
Firewall Log
IP → Firewall → Edite a regra → Action 168
NAT • Network Address Translation (NAT) é o método de modificar a origem ou destino de um pacote IP
• Existem dois tipos de NAT - ‘source NAT’ e ‘destination NAT’
169
NAT • O NAT é usualmente utilizado para prover o a internet para uma rede local que usa IPs privados (src-nat)
• Ou para o remoto a algum recurso interno (ex.: servidor web) através da internet, usando redirecionamento de portas (dst-nat)
170
NAT Novo IP de origem
IP de origem
IP privado
Servidor Público
171
NAT Novo IP de destino
IP de destino
Host público
Servidor em rede local
172
NAT • As chains srcnat e dstnat do firewall são usadas para implementar as funcionalidades do NAT
• Similar às regras em Filter, seguem o princípio SE – ENTÃO
• E são analisadas sequencialmente até que a condição da regra seja atendida
173
Dst NAT Novo Dst. address 192.168.1.1:80
Dst. Address 159.148.147.196:80
Host Público
Servidor Web 192.168.1.1
174
Dst NAT
IP → Firewall → NAT → Nova Regra (+) 175
Redirect • Tipo especial do dstnat • Esta ação redireciona os pacotes para o próprio router
• Pode ser usada para criar serviços de proxy transparente (ex. DNS, HTTP)
176
Redirect Endereço de DNS configurado no PC:53
Novo IP de DNS 127.0.0.1:53 DNS Cache
177
B LA
Redirect • Crie uma regra de dstnat para redirecionar toda requisição com destino a porta HTTP (t/80) para a porta 80 do próprio router
• Tente abrir bra.com.br ou qualquer outro site que use o protocolo HTTP
• Quando finalizar, desative ou remova a regra 178
Src NAT Novo IP de origem é IP do router
IP de origem 192.168.199.200
192.168.199.200
•
Servidor Público
O masquerade é um tipo especial do srcnat 179
Src NAT • A ação (action) src-nat tem o propósito de reescrever o endereço e/ou porta do IP de origem
• Exemplo: duas empresas (A e B) se fundiram. Internamente ambas usam a mesma faixa de IP (172.16.0.0/16). Eles vão usar uma nova faixa de IP como “buffer”, ambas as redes (de A e B) vão precisar tanto de regras de src-nat quanto dst-nat 180
NAT Helpers • Alguns protocolos requerem os chamados NAT helpers para funcionarem corretamente em uma rede com NAT
IP → Firewall → Service Ports 181
Connection Tracking • Gerencia informções sobre todas as conexões ativas
• Precisa estar habilitado para o NAT e certas condições e ações (action) do Filter funcionarem
• Nota: connection state ≠ T state 182
Connection Tracking
IP → Firewall → Connections 183
Connections •
New – o pacote está iniciando/abrindo uma nova conexão
•
Established – o pacote pertence a uma conexão conhecida
•
Related – o pacote está iniciando/abrindo uma nova conexão, mas esta tem relação com uma outra conexão conhecida
•
Invalid – o pacote não pertence a nenhuma nas conexões conhecidas 184
Connections
Invalid
Established
New
Related 185
FastTrack • Um médoto para acelerar o fluxo de pacotes no router
• Uma conexão 'established' ou 'related' podem ser marcadas como 'fasttrack connection'
• Bya o firewall, o connection tracking, simple queue e outros recursos
• Atualmente e apenas os protocolos T e UDP 186
FastTrack Sem
Com
360Mbps
890Mbps
Total de uso da U 100%
Total de uso da U 86%
44% em uso pelo firewall
6% em uso pelo firewall
Teste realizado em uma RB2011 com um único fluxo T
• Mais informação na página da wiki FastTrack 187
Módulo 6 Resumo
Certified Network Associate (MTCNA)
Módulo 7 QoS
Quality of Service • QoS é a performande geral de uma rede, particularmente a performance vista pelos usuáros
• O RouterOS implementa diversos métodos de QoS como limite de velocidade (shaping), priorização de tráfego e outros
190
Simple Queue • Pode ser usada para facilmente limitar a velocidade de:
• (↓) do cliente • (↑) do cliente • Velocidade total (↓ + ↑)
191
Simple Queue Especifique o cliente Especifique Max Limit do cliente
Queues → Nova Simple Queue (+)
• Desabilite a regra de FastTrack no Firewall para a Simple Queue funcionar 192
Torch • Monitoramento em tempo real Endereço IP do notebook
Interface
Observe o tráfego Tools → Torch 193
• Crie um limite de velocidade para seu notebook (192.168.XY.254)
• Atribua para 128k e para 256k
• Abra mikrotik.com/ e baixe a versão atual (current) do RouterOS
• Observe a velocidade de 194
B LA
Simple Queue
Simple Queue • Ao invés de limitar o cliente, o tráfego do servidor pode ser limitado também Atribua o Target para qualquer um Atribua Dst. o IP do servidor
195
Queues
• Use o ping para descobrir o IP do site mikrotik.com
• Modifique a simple queue existente para limitar o servidor do site mikrotik.com
• Baixe o MTCNA outline • Observe a velocidade do 196
B LA
Simple Queue
Banda Garantida • Usado para garantir sempre uma banda mínima para o cliente
• O tráfego restante será dividido entre os clientes por demanda
• Controlado pelo parâmetro Limit-at
197
Banda Garantida Atribua o Limit At
Queues → Simple Queue → Edit → Advanced
• O cliente terá a banda garantida de 1Mbit para e 198
Banda Garantida • Exemplo: • • •
Banda Total: 10Mbits 3 clientes, cada um com banda garantida O tráfego restante será dividido entre os clientes
199
Banda Garantida
Queues Banda Garantida
Banda Atual
200
Burst • Usado para permitir velocidade mais alta por um curto período de tempo
• Útil para o tráfego WEB – as páginas carregam mais rápido
• Para de arquivos e streaming os valores em Max Limit ainda prevalecem
201
Burst Atribua o burst limit, threshold e time
Queues → Simple Queue → Edit
202
Burst • Burst limit - max valocidade de / permitida no burst
• Burst time - tempo (seg), no qual a média da velocidade será calculada (NÃO é o período de duração do burst).
• Burst threshold – quando a média da velocidade atinge ou baixa do threshold o burst é desligado ou ligado 203
B LA
Burst
• Modifique a queue criada no LAB anterior • Atribua o burst limit de 512k para e
• Atribua o burst threshold de 256k para e
• Atribua o burst time de 16s para e * Max limit = 256k 204
B LA
Burst
• Abra mikrotik.com, observe a velocidade da abertura da página
• Baixe a versão mais nova do RouterOS em MikroTik
• Observe a velocidade do com a ferramenta torch (/tool torch)
205
Per Connection Queuing •
É um tipo de enfileiramento (queue type) para otimizar a implantação de QoS em massa através do uso de sub-filas (sub-stream)
• •
Substitue múltiplas queue por uma só Diversos classificadores podem ser usados:
• •
Endereço IP de origem/destino Porta de origem/destino 206
Per Connection Queuing • Rate – velocidade máxima disponível para cada sub-fila
• Limit – tamanho da fila de cada sub-fila (KiB)
• Total Limit – volume total de dados enfileirados em todas as sub-filas (KiB)
207
Exemplo de PCQ • Objetivo: limitar todos os clientes a 1Mbps de e 1Mbps de
• Crie 2 novos tipos de fila • •
1 para Dst Address () 1 para Src Address ()
• Atribua as queues para as interfaces LAN e WAN 208
Exemplo de PCQ
Queues → Queue Type → Novo Queue Type (+) 209
Exemplo de PCQ
Interface WAN Interface LAN Queues → Interface Queues 210
Exemplo de PCQ • Todos os clientes conectados na interface LAN terão 1Mbps de e
Tools → Torch 211
B LA
Exemplo de PCQ
• O instrutor irá criar 2 novas queues pcq e limitar todos os clientes (routers dos alunos) a 512Kbps de e
• Tente baixar a nova versão do RouterOS version em mikrotik.com e observe a velocidade de com a ferramenta torch 212
Módulo 7 Resumo
Certified Network Associate (MTCNA)
Módulo 8 Túneis
Protocolo de Ponto-a-Ponto • Point-to-Point Protocol (PPP) é usado para estabelecer um túnel (conexão direta) entre dois nós
• O PPP pode prover autenticação, criptografia e compressão
• O RouterOS a vários túneis PPP como PPPoE, SSTP, PPTP dentre outros 215
IP Pool • Define uma faixa de endereços IP para uso em serviços do RouterOS
• Usado pelo DH, PPP e HotSpot • Os endereços dos clientes são tomados automaticamente do pool
216
IP Pool Atribua nome e faixa de endereço ao pool IP → Pool → Novo IP Pool (+)
217
PPPoE • Point-to-Point over Ethernet é um protocolo de camada 2 usado para controlar o o à rede
• Provê autenticação, criptografia e compressão
• O PPPoE pode ser usada para gerenciar a entrega de IPs para os clientes 218
PPPoE • A maioria dos sistemas operacionais desktop tem o cliente PPPoE instalado por padrão
• O RouterOS a ambos o cliente PPPoE e o servidor PPPoE (concentrador de o)
219
PPP Profile • O profile define regras usadas pelos servidores PPP e seus clientes
• Método de atribuir a mesma configuração a múltiplos clientes
220
PPP Profile Atribua o endereço local e remoto ao túnel É sugerido usar a criptografia
PPP → Profiles → Novo PPP Profile (+) 221
PPP Secret • Banco de dados local dos usuários PPP • Pode-se configurar o usuário, senha e outras configurações específicas
• O restante das configurações são aplicadas pelo PPP profile
• A configuração do PPP secret tem preferência às mesmas correspondentes no PPP profile 222
PPP Secret Atribua usuário, senha e perfil. Especifique o 'service' se necessário
PPP → Secrets → Novo PPP Secret (+) 223
PPPoE Server • O PPPoE server roda em uma interface • Não pode ser configurado em uma interface que faz parte da bridge
• Ou remova a interface da bridge ou atribua o PPPoE server na bridge
• Por questões de segurança você não deve usar um endereço IP na mesma interface do PPPoE server 224
PPPoE Server Atribua o service name, interface, profile e os protocolos de autenticação
225
PPP Status • Informações sobre sessão em questão
PPP → Active Connections 226
PPPoE Client Atribua a interface, service, usuário, senha
PPP → Novo PPPoE Client (+) 227
PPPoE Client • Caso existam mais de um servidor PPPoE em um domínio de broadcast, o 'service name' pode/deve também ser especificado
• Pois o cliente tentará se conectar ao primeiro servidor que lhe responder
228
B LA
PPPoE Client • O instrutor irá criar um PPPoE server em seu router
• Desabilite o DH client em seu router • Configure um PPPoE client na interface WAN do seu router
• Atribua usuário e senha 'mtcna' e usepeer-dns=yes 229
B LA
PPPoE Client • Verifique o status do PPPoE client • Verifique se a conexão à Internet está disponível, corrija o necessário
• Teste sua conectividade com os vizinhos
230
Endereçamento Point-to-Point • Quando a conexão é estabelecida entre cliente e servidor PPP, endereços /32 são atribuídos
• Para o cliente, o endereço de rede (network) é o endereço do gateway (router) e viceversa
231
Endereçamento Point-to-Point • A máscara de subrede não é relevante ao usar endereçamento PPP
• O endereçamento PPP economiza 2 endereços IP
• Se o endereçamento PPP não for ado pelo outro dispositivo, uma subrede /30 deve ser utilizada 232
PPP Tunnel Tunnel
233
PPTP • O PPTP (protocolo de tunelamento ponto-a-ponto) provê túneis criptografados sobre o IP
• Pode ser usado para criar conexões “seguras” entre redes através da Internet
• O RouterOS a ambos o PPTP cliente PPTP server 234
PPTP • Usa porta t/1723 e o protocolo IP de número 47 - GRE (Generic Routing Encapsulation)
• NAT helpers são usados para garantir o e ao PPTP em redes com NAT
235
PPTP Server • O RouterOS provê um setup simples para PPTP server
• Use QuickSet para habilitar o o à VPN Habilite a VPN e atribua o
236
PPTP Client Atribua name, IP do servidor PPTP, name,
PPP → New PPTP Client(+) 237
PPTP Client • Use a opção Add Default Route para enviar todo tráfego do router através do túnel PPTP
• Use rotas estáticas para enviar tráfegos específicos através do túnel PPTP
• Note! PPTP não é considerado seguro – use com cuidado!
• Ao invés, use SSTP, OpenVPN etc. 238
SSTP •
Secure Socket Tunnelling Protocol (SSTP) provê túnel criptografado sobre IP
• •
Usa porta t/443 (a mesma que HTTPS)
•
O SSTP client está disponível no Windows 7 e posterior
O RouterOS a ambos SSTP client e server
239
SSTP •
Para Linux existem implementações Open Source tanto para cliente e servidor
•
Como o tráfego é idêntico ao HTTPS, usualmente o túnel SSTP pode atravessar facilmente os firewalls sem configuração adicional
240
SSTP Client Atribua o name, endereço IP do servidor SSTP, usuário, senha
241
SSTP Client • Use 'Add Default Route' para enviar todo tráfego através do túnel SSTP
• Use rotas estáticas para enviar tráfegos específicos através do túnel SSTP
242
SSTP Client • Não é necesário usar certificados para conectar dois dispositivos RouterOS
• Para conectar pelo Windows, é necessário um certificado válido
• Pode ser emitido por uma entidade certificadora – certificate authority (CA)
243
B LA
SSTP
• Junte-se com seu vizinho • O router A cria o servidor VPN e um ‘secret’. Router B cria o cliente VPN.
• Utilizem ‘secrets’ com local-address e remote-address diferentes de qualquer outro IP existente nos routers.
244
B LA
SSTP
• Verifique as regras de firewall. Lembre que o SSTP usa porta t/443
• Ping o notebook do seu vizinho a partir do seu notebook (não pinga)
• POR QUE? (resposta a seguir)
245
B LA
SSTP
• Não há rotas para a rede interna do seu vizinho
• Ambos devem criar rotas estaticas para a rede 192.168.XY.0/24 do outro
• Testem a comunicação entre notebooks usando ping e traceroute (deve funcionar)
246
PPP • PPPoE, PPTP, SSTP e outros protocolos de túneis são abordados com mais detalhes em implementação cliente e servidor nos cursos de certificação MikroTik MTCRE, MTCINE e MTCUME.
• Para mais informação: http://mikrotik.com/training
247
Módulo 8 Resumo
Certified Network Associate (MTCNA)
Módulo 9 Diversos
RouterOS Tools • O RouterOS provê diversas ferramentos que ajudam a istrar e monitorar o router com mais eficiência
250
E-mail • Permite enviar e-mails a partir do router
• Exemplo para enviar backup do router
Tools → Email
/export file=export /tool e-mail send [email protected]\ subject="$[/system identity get name] export"\ body="$[/system clock get date]\ configuration file" file=export.rsc
Script para gerar arquivo export e enviá-lo por e-mail 251
i pc O
a on
B LA
l
E-mail • • •
Configure seu servidor SMTP no router Exporte a configuração do seu router Envie o arquivo gerado para seu e-mail a partir do RouterOS
252
Netwatch •
Monitora o status de hosts na rede
•
Envia ICMP echo request (ping)
•
Pode executar scripts quando o host parar de responder e quando voltar a responder Tools → Netwatch 253
Ping •
Usado para testar a alcansabilidade de um host numa rede IP
•
Usado para medir a latência (round trip time) entre os hosts de origem e destino
•
Envia pacotes ICMP echo request 254
Tools → Ping
•
Ping o IP do seu notebook a partir do router
•
Clique em ‘New Window’ e ping mikrotik.com a partir do router
•
Observe a diferença na latência
255
B LA
Ping
Traceroute •
Ferramenta para diagnóstico de rede que exibe a rota (caminho) de pacotes através de uma rede IP
•
Pode usar protocolo icmp ou udp Tools → Traceroute 256
•
Escolha um site hospedado no Brasil e faça um traceroute para ele
•
Clique em ‘New Window’ e faça um traceroute para mikrotik.com
•
Observe a diferença entre as rotas
257
B LA
Traceroute
Profile •
Exibe o uso de U em tempo real para cada processo rodando no RouterOS
• •
idle - U ociosa
Tools → Profile
Mais info na página wiki do Profiler
258
Interface Traffic Monitor •
Status em tempo real do tráfego na interface
•
Disponível na aba “Traffic” de cada interface
•
ível também via WegFig ou terminal
259
Interfaces → wlan1 → Traffic
Torch • •
Monitoramento em tempo real
•
Pode classificar o tráfego monitorado por nome do protocolo IP, endereços de origem/destino (IPv4/IPv6), número da porta etc.
Usada para monitorar o fluxo de dados através da interface
260
Torch Tools → Torch
•
Fluxo de dados do notebook para o web server em mikrotik.com usando a porta HTTPS como filtro 261
System Logs •
Por padrão o RouterOS faz logs de informções sobre o router
• •
Armazenados em memória
•
Podem ser armazenados em disk Ou enviados a um servidor de syslog 262
System → Logging
System Logs •
Para habilitar logs detalhados (debug), crie uma nova regra
•
Adicione o tópico debug
System → Logging → Nova Regra de Log
263
Gráficos •
O RouterOS pode gerar gráficos que exibem quanto tráfego ou por uma interface ou queue
•
Pode exibir o uso de U, memória e disco
•
Para cada medição existem 4 gráficos – daily (diário), weekly (semanal), monthly (mensal) e yearly (anual) 264
Gráficos Atribua uma interface em específico ou deixe “all” para todas, atribua as origens IP que terão o aos gráficos
Tools → Graphing 265
Gráficos
•
Disponível no router: http://ip_do_router/graphs 266
Gráficos
267
io pc O
l na
B LA
Gráficos •
Habilite os gráficos para interface, queue e resource em seu router
• •
Observe os gráficos
•
Observe os gráficos
Faça de um arquivo grande na Internet
268
SNMP •
Simple Network Management Protocol (SNMP)
•
Usado para monitorar e gerenciar dispositivos
• •
O RouterOS a SNMP v1, v2 e v3 O e à escrita no SNMP é disponível apenas para algumas configurações
269
SNMP
IP → SNMP 270
The Dude •
Aplicação da MikroTik que pode otimizar dramaticamente a maneira como você gerencia seu ambiente de rede
•
Automaticamente descobre e desenha o mapa de dispositivos
• •
Monitoramento de serviços e alertas Gratuito
271
The Dude •
a monitoramento SNMP, ICMP, DNS e T
•
Dude Server roda no RouterOS (TILE, ARM, MMIPS, CHR ou x86)
•
Dude Client no Windows (funciona no Linux e OSX usando Wine)
•
Mais info ver na wiki The Dude
272
The Dude
273
i pc O
a on
B LA
l
The Dude •
Faça o do cliente Dude para Windows em mikrotik.com/
•
Instale e conecte-se ao servidor demo: dude.mt.lv
•
Observe o Dude
274
i pc O
a on
B LA
l
The Dude
275
Contatando o e •
Para que o e da MikroTik ajude melhor, alguns os devem ser seguidos antes de contatar o e
•
Crie o arquivo de saída para e (supout.rif)
276
Contatando o e •
Um arquivo chamado autosupout.rif pode ser criado automaticamente em caso se falha de hardware ou malfuncionamento
• •
Gerenciado pelo processo Watchdog
•
Mais info em Output File e Watchdog
Antes de enviá-lo à MikroTik, o conteúdo dos arquivos (.rif) podem ser visualizados em sua conta mikrotik.com
277
Contatando o e •
Antes de entrar em contato [email protected] verifique os seguintes recursos
•
wiki.mikrotik.com - Documentação e exemplos do RouterOS
•
forum.mikrotik.com - Fórum para comunicação entre usuários do RouterOS
•
mum.mikrotik.com - Página do MikroTik Meeting – vídeos das apresentações 278
Contatando o e •
Sugerimos adicionar comentários significativos às suas regras e itens
•
Descreva de forma detalhada para que a MikroTik possa ajudar melhor
• •
Inclua o diagrama da rede Mais info na página do
279
Módulo 9 Resumo
MTCNA Resumo
Exame de Certificação •
Se necessário, resete seu router e restaure um backup
•
Certifique-se que tem o ao portal de treinamento em mikrotik.com
• • •
Faça na sua conta Entre em “my training sessions” Boa sorte! 282
Related Documents 171j1w
Aulas Mtcna y2669
July 2020 3
Mtcna 244dr
December 2019 44
Mtcna 244dr
April 2020 25
Aulas 582r16
May 2020 6
Mtcna Apostila 30w4x
July 2020 4
Mtcna V6.28.0.01 1t4zm
April 2020 33More Documents from "Fabiano Queiroz Soares" 2f4e47
Aulas Mtcna y2669
July 2020 3
2c82t
October 2019 33
Criando Gatilho No Protheus 4v5u2z
August 2022 0
A Neurologia Que Todo Medico Deve Saber Ricardo Nitrini Pdf 2a702y
August 2022 0
2c82t
October 2022 0