Agenda
Treinamento dirio das 08:30 s 18:00 Coffe break s 10:30 e s 15:30 Almoo s 12:30 01h:30m de durao
2
Procure deixa o celular no modo silencioso ou desligado Durante as explicaes evite as conversas paralelas. Elas sero mais proveitosas nos labratorios Desabilite qualquer interface wireless ou 3g do seu notebook
Procure deixa o celular no modo silencioso ou desligado Durante as explicaes evite as conversas paralelas. Elas sero mais proveitosas nos labratorios Desabilite qualquer interface wireless ou 3g do seu notebook
Fiquem a vontade para perguntar, pois muitas vezes sua dvida a dvida tambm de outra pessoa. O acesso a internet ser disponibilizado durante a aula, para efeito didtico portanto evite o uso inapropriado.
5
Apresentao da turma
Diga seu nome; Sua empresa; Seu conhecimento sobre redes; Seu conhecimento sobre Mikrotik RouterOS; E qual seu objetivo em fazer esse curso.
6
Objetivos do Curso
Prover uma viso geral sobre Mikrotik RouterOS e suas Routerboard; Mostrar de forma ampla, porm objetiva, as ferramentas que o RouterOS (Mikrotik) dispe para prover diversas solues; Mostra a importncia do RouterOS no cotidiano dos provedores e empresas em geral.
Roteiro do Curso
1. Apresentao do Mikrotik 2. Instalao do RouterOS 3. Apresentao da Wiki da Mikrotik 4. Utilizao do console, Winbox 5. Manuteno: Atualizao, Gerenciamento de pacotes, backup e Licenciamento 6. Nivelamento TCP/IP 7. Configurao Bsica do Roteador 8. Configurao do Servidor DHCP + Controle Banda Simples 9. Configurao do Servidor Hotspot 10. Configurao do Servidor PPPoE 11. Configurao do Load-Balance com PCC 12. Scripts para acesso externo atravs de DDNS (atravs do Grupo)
8
10
RouterOS o sistema operacional das Routerboads, que pode ser instalado tambm em PC's x86, e pode ser configurado como:
Um roteador dedicado Controlador de banda Firewall Gerenciamento de usurios Dispositivos Qos personalizado Qualquer dispositivo wireless 802.11 a/b/g/n
11
O site oficial da mikrotik o: www.mikrotik.com Para baixar os ultimos pacotes disponiveis basta voc acessar: www.mikrotik.com/download L voc vai encontrar as imagens .iso Os pacotes combinados E os pacotes individuais
12
Instalao do RouterOS
O Mikrotik RouterOS pode ser instalado a partir de:
13
Instalando pelo CD
14
Pacotes do RouterOS
System: Pacote principal contendo os servios bsiscos e drivers. A rigor o nico que obrigatrio; PPP: Suporte a servios PPP como PPPoE, L2TP, PPTP, etc.. DHCP: Cliente e Servidor DHCP Advanced-tools: Ferramentas de diagnstico, netwatch e outros ultilitrios Arlan: Suporte a uma antiga placa Aironet antiga arlan Calea: Pacote para vigilncia de conexes (Exigido somente nos EUA) GPS: Suporte a GPS ( tempo e posio ) HotSpot: Suporte a HotSpot ISDN: Suporte as antigas conexes ISDN LCD: Suporte a display LCD NTP: Servidor de horrio oficial mundial Radiolan: Suporte a placa RadioLan 15
Pacotes do RouterOS
RouterBoard: Utilitrio para RouterBoards Routing: Suporte a roteamento dinmico tipo RIP, OSPF, BGP RSTP-BRIGE-TEST: Protocolo RSTP Security: Suporte a ssh, IPSec e conexo segura do winbox Synchronous: suporte a placas sncronas Moxa, Cyclades PC300, etc... Telephony: Pacote de suporte a telefnia protocolo h.323 UPS: Suporte as no-breaks APC User-Manager: Servio de autenticao User-Manager Web-Proxy: Servio Web-Proxy Wireless-legacy: Suporte as placas antigas Atheros, PrismII e Aironet
16
Instalando pelo CD
Na tela de instalao pode selecionar todos os pacotes apertando a, ou ir selecionando um a um apertando a barra de espaos, e depois apertar i para instalar os pacotes previamente selecionados, caso voc possua uma configurao anterior e deseja mant-la pressione y.
17
O processo de instalao no configura IP no Mikrotik. Portanto o primeiro acesso pode ser feito das seguintes formas:
Direto no console (via PC) Via terminal Via telnet MAC Via Winbox
18
Console no Mikrotik
Navegando pelo console
01 Atravs do console do Mikrotik possvel acessar todas configuraes do sistema de forma hierrquica conforme os exemplos abaixo:
Acessando o menu interface [admin@MikroTik] > interface [admin@MikroTik] interface > ethernet Para retornar ao nvel anterior basta digitar .. [admin@MikroTik] interface ethernet> .. [admin@MikroTik] interface > Para voltar ao raiz digite / [admin@MikroTik] interface ethernet> / [admin@MikroTik] >
19
Console no Mikrotik
Obtendo ajuda
01 - ? Mostra um help para o diretrio em que se esteja 02 - ? Aps um comando incompleto mostra as opes disponveis para o comando 03 - Comandos podem ser completados com a tecla TAB
04 - Havendo mais de uma opo para o j digitado, pressione TAB 2 vezes para mostrar as opes disponveis.
20
Console no Mikrotik
Imprimindo na tela
Comando PRINT mostra informaes de configurao:
21
Console no Mikrotik
Monitorando as interfaces
22
Console no Mikrotik
01 Comandos para manipular regras 01.1 add, set, remove: adiciona, muda e remove regras 01.2 enable/disabled: habilita/desabilita (regra sem deletar) 01.3 move: move a regra cuja a ordem influencia (principalmente em firewall) 02 Comando Export (muito importante para backup) 02.1 Exporta todas as configuraes do diretrio atual 02.2 Pode ser copiado e colado em um editor de textos 02.3 Pode ser exportado para uma arquivo.srt (ex.: backup.srt) 03 Comando Import 03.1 Importa um arquivo criado pelo comando export (ex. Backup.srt)
23
WINBOX
01 Winbox o utilitrio para administrao do Mikrotik em modo grfico. Funciona em Windows. Para funcionar no Linux necessrio a instalao do emulador Wine. A comunicao feita pela porta TCP 8291 e caso voc. habilite a opo Secure Mode a comunicao ser criptografada. 02 Para obter basta: 02.1 Para baixar o winbox acesse o link: http://www.mikrotik.com/download.html 02.2 Digite o ip da sua RB no navegador (a apartir da verso 5)
24
25
26
02 u => desfaz todas as configuraes anteriores feitas em modo seguro e pe a presente sesso em modo seguro. 03 d => deixa como est
04 r => mantm as configuraes no modo seguro e pe a sesso em modo seguro. E o outro usurio receber a seguinte mensagem:
Safe Mode Released by another user
27
28
Manuteno do Mikrotik
01 Atualizaes 02 Gerenciamento de Pacotes 03 Backup 04 Informaes sobre Licenciamento 05 Gerenciamento de usurios
29
Atualizaes
01 - As atualizaes podem ser feitas a partir de um conjunto de pacotes combinados ou individuais. 03 O upload pode ser feito por FTP ou copiando e colando pelo Winbox. 02 Os arquivo tem extenso .npk e para atualizar a verso basta fazer o upload para o diretrio raiz e efetuar um reboot.
30
Pacotes
01 Adicionar novas funcionalidades podem ser feitas atravs de alguns pacotes que no fazem parte do conjunto padro de pacotes combinado.
02 Esses arquivos tambm possuem extenso .npk e para instal-los basta fazer o upload para o Mikrotik e efetuar um reboot do sistema.
03 Alguns pacotes como User Manager e User Multicast so exemplos de pacotes adicionais que no fazem parte do pacote padro.
31
Pacotes
01 Alguns pacotes podem ser habilitados e desabilitados conforme sua necessidade. Menu > System > Packages
Pacote desabilitado
32
Backup
01 Para efetuar o backup basta ir em Files e clicar no boto Backup.
03 Este tipo de backup pode causar problemas de MAC caso seja restaurado em outro hardware. Para efetuar um backup com intuido de tranportar para outra RB fao-o por partes usando o comando export.
33
Licenciamento
01 A chave gerada sobre um software-id fornecido pelo sistema.
34
Gerenciamento de Usurios
01 Adicione o seu usurio 02 Defina o grupo como FULL 03 Crie um Password
35
Gerenciamento de Usurios
01 O acesso ao roteador pode e deve ser controlado, para isso existe uma politica de usurios e grupos.
02 Voc pode tanto criar novos grupos, como editar os privilgios de cada um do Grupos j existentes.
36
Gerenciamento de Usurios
01 O acesso ao roteador tambem pode ser feito por RADIUS marcando a o Use RADIUS.
02 Pode-se usar uma chave ssh, para o Servidor radius fazer login automtico e Modificar de forma automtica as configuraes do sistema.
03 Clica em Import SSH key: 03.1 define usurio 03.2 seleciona a chave
37
Gerenciamento de Usurios
01 Active User mostra os detalhes dos logons dos usurios.
38
Atualizando a sua RB
01 Faa o download dos pacotes no site da mikrotik.
39
Duvidas???
40
Um pouco de TCP/IP
41
Modelo OSI
(Open System Interconnection)
01 Comunicao de dados, era dominada por arquiteturas de redes proprietrias 02 Grandes Fabricantes, IBM, DEC, etc... 03 Havia uma necessidade de padronizao das comunicaes 04 Em 1977 a ISO (International Stantards Organization) formou comit, para desenvolver a arquitetura padro para a comunicao de dados. 05 Ento criou-se o to conhecido modelo OSI.
CAMADA 7 Aplicao: Comunicao com os programas. HTTP, SMTP, FTP, TELNET CAMADA 6 Apresentao: Camada de traduo. Compresso e criptografia CAMADA 5 Sesso: Estabelecimento das sesses TCP. CAMADA 4 Transporte: Controle de fluxo, ordenao dos pacotes e correo de erros CAMADA 3 Rede: Associa endereo fsico ao endereo lgico CAMADA 2 Enlace: Endereamento fsico. Detecta e corrige erros da camada 1 CAMADA 1 Fsica: Bits de dados
42
nesse nvel que so definidas as especificaes de cabeamento estruturado, fibras pticas, etc...
Camada II - Enlace
Camada responsvel pelo endereamento fsico, controle de acesso ao meio e correes de erros da camada I.
Endereamento fsico se faz pelos endereos MAC (Controle de Acesso ao Meio) que so nicos no mundo e que so atribudos aos dispositivos de rede.
44
Endereo MAC
o nico endereo fsico de um dispositivo de rede
usado para comunicao com a rede local Exemplo de endereo MAC: 0a:00:27:00:00:06
45
Determina que rota os pacotes iro seguir para atingir o destino baseado em fatores tais como condies de trfego de rede e prioridade.
46
Endereo IP
o endereo lgico de um dispositivo de rede usado para comunicao entre redes um numero de 32 bits, formado por 4 octetos de 8 bits. Exemplo de endereo ip: 200.200.0.1
47
Sub-Rede
uma faixa de endereos IP que divide as redes em segmentos Exemplo de sub rede: 255.255.255.0 ou /24 O endereo de REDE o primeiro IP da sub rede O endereo de BROADCAST o ltimo IP da sub rede Esses endereos so reservados e no podem ser usados
End. IP/Mscara 192.168.1.1/30 192.168.1.65/26 192.168.1.1/24 192.168.1.0/23 End. de Rede 192.168.1.0 192.168.1.64 192.168.1.0 192.168.0.0 End. Broadcast 192.168.1.3 192.168.1.127 192.168.1.255 192.168.1.255 Mscara 255.255.255.252 255.255.255.192 255.255.255.0 255.255.254.0
48
Endereamento CIDR
49
2 O host que tem o IP de destino responde fornecendo seu MAC. 3 - Para minimizar o broadcast, o S.O mantm um tabela ARP constando o par (IP MAC).
50
Camada IV - Transporte
Quando atua no lado do remetente responsvel por pegar os dados das camadas superiores e dividir em pacotes para que sejam transmitidos para a camada de rede.
No lado do destinatrio pega os pacotes recebidos da camada de rede, remonta os dados originais e os envia para camada superior.
51
Camada IV - Transporte
Protocolo TCP: O TCP um protocolo de transporte que executa importantes funes para garantir que os dados sejam entregues de forma confivel, ou seja, sem que os dados sejam corrompidos ou alterados.
Protocolo UDP: O UDP um protocolo no orientado a conexo e portanto mais rpido que o TCP. Entretanto no garante a entrega dos dados.
52
UDP
Servio sem conexo. No estabelecida conexo entre hosts. No garante e no confirma a entrega de dados. Programas que usa UDP, so os responsveis pela confiabilidade dos dados Rpido, exige poucos recursos e oferece comunicao ponto a ponto e Multiponto.
53
54
Porta 21 (TCP) 22 (TCP) 23 (TCP) 25 (TCP) 80 (TCP) 443 (TCP) 53 (UDP) 123 (UDP) 137 E 138 (UDP) 139 (TCP) 110 (TCP)
O uso de portas, permite o funcionamento de vrios servios, ao mesmo tempo, no mesmo computador, trocando informaes com um ou mais servios/servidores.
55
Duvidas???
56
57
Feito isso a RB vai fazer um hard-reset e o sistema vai reinciar com o ip 0.0.0.0, e realmente limpo para agente trabalhar nele.
58
01 - O acesso ao sistema por MAC muito til, principalmente, quando fazemos o hard-reset ou quando no temos IP compatvel com a rede.
59
60
62
63
64
65
02 Selecione a interface, que vai receber o IP e que voc determinou para ser sua porta para internet. 03 User Peer DNS para usar o DNS determinado pelo Servidor DHCP. 04 User Peer NTP para usar servidor de Hora do Servidor DHCP. 05 Add Default Route para adicionar o Servidor DHCP como rota padro para internet.
66
67
O Gateway, ou porta de ligao, uma mquina intermediria geralmente destinada a interligar redes, separar domnios de coliso, ou mesmo traduzir protocolos. Exemplos de gateway podem ser os routers (ou roteadores) e firewalls, j que ambos servem de intermedirios entre o utilizador e a rede. Um proxy tambm pode ser interpretado como um gateway (embora em outro nvel, aquele da camada em que opera), j que serve de intermedirio tambm.
68
69
70
71
72
73
74
75
76
Obs.: voc pode anotar os IPs se precisar j colocar direto, caso queira.
Seu mikrotik no t mais em 1970. porm ainda falta, v em System > Clock
77
78
79
Roteador Mikrotik est feita e a partir dela, desenvolveremos nossos servidores DHCP, HOTSPOT, e PPPoE e Load-Balance**.
80
Duvidas???
81
SERVIDOR DHCP
82
SERVIDOR DHCP
O QUE DHCP
O DHCP, Dynamic Host Configuration Protocol (Protocolo de configurao de host dinmico), um protocolo de servio TCP/IP que oferece configurao dinmica de terminais,com concesso de endereos IP de host e outros parmetros de configurao para clientes de rede. Este protocolo o sucessor do BOOTP que, embora mais simples, tornou-se limitado para as exigncias atuais. O DHCP surgiu como padro em Outubro de 1993. O RFC 2131 contm as especificaes mais atuais (maro de 1997). O ltimo standard para a especificao do DHCP sobre IPv6 (DHCPv6) foi publicado a Julho de 2003 como RFC 3315. Resumidamente, o DHCP opera da seguinte forma: Um cliente envia um pacote UDP em broadcast (destinado a todas as mquinas) com um pedido DHCP Os servidores DHCP que capturarem este pacote iro responder (se o cliente se enquadrar numa srie de critrios) com um pacote com configuraes onde constar, pelo menos, um endereo IP, uma mscara de rede e outros dados opcionais, como o gateway, servidores de DNS, etc.
83
SERVIDOR DHCP
Criando um DHCP-SERVER
01 Primeiramente adicione um IP a interface que deseja que o DHCP-SERVER atue. 02 - No menu IP > DHCP-Server > 03 Clique em DHCP Setup
84
SERVIDOR DHCP
Criando um DHCP-SERVER
04 Indique a interface do DHCP-Server
05 Digite a Rede
06 Digite o Gateway
85
SERVIDOR DHCP
Criando um DHCP-SERVER
07 Digite o intervalo de distribuio (pool)
08 Digite servidor DNS para ser distribuido (recomendo o prprio Gateway) 09 Lease time o tempo de renovaao dos IPs 10 Clique em OK
86
SERVIDOR DHCP
Configurando o DHCP no Mikrotik
01 Name: Nome do Servidor dhcp 02 Interface: a interface de atuao do DHCP 03 Lease Time: Tempo de Renovao dos Ips 04 Address Pool: O pool utilizado no servidor 05 Autoritative: Sou eu quem Mando!!!
87
SERVIDOR DHCP
DHCP - NETWORK
01 Address: o endereo da Rede 02 Gateway: o Gateway da Rede 03 Netmask: voc usar uma mascara diferente Por exemplo /32. 04 DNS Severs: Aqui voc pode adicionar, remover Servidores DNS, que vo servir os Clientes.
88
SERVIDOR DHCP
DHCP - LEASE
DHCP-LEASE usado para monitorar e gerenciar concesses de servidor. As distribuies de IPs so mostradas aqui como entradas dinmicas. Voc tambm pode adicionar uma distribuio esttica para emitir um cliente particular (identificados pelo endereo MAC) o endereo IP desejado.
D dinmico
89
SERVIDOR DHCP
DHCP - LEASE
Mostra as estatiscas
Clique em Make Static para torna-lo uma distribuio esttica (mais conhecido como amarrar IP/MAC)
90
SERVIDOR DHCP
DHCP - LEASE
Depois de torn-lo esttico podemos fazer varias configuraes
01 Modificar o IP que voc quer que o cliente receba 02 Colocar um Lease Time diferente dos outros 03 Bloquear o Acesso 04 Setar um controle de Banda para o cliente
SERVIDOR DHCP
DHCP - LEASE
Observe a lista aps a configurao esttica do cliente
92
SERVIDOR DHCP
Laboratrio DHCP
01 Criem um Servidor DHCP com o seguinte IP 172.16.X.1/24 02 com Lease time 1 dia 03 Pool 172.16.X.100-172.16.X.200 04 com a opo autoritative 05 verificar o DHCP-Lease, torna-lo estatico 06 comentar como seu nome 07 colocar um controle de banda (64k/512k) 08 Bloquear o Acesso (para testar o bloqueio, desative e ative a interface de rede do notebook) 09 Libere o Acesso e teste a velocidade no www.testepower.com.br
93
Duvidas???
94
HotSpot no Mikrotik
95
HotSpot no Mikrotik
Pequena Definio
HotSpot um termo utilizado para se referir a uma rea pblica onde est disponvel um servio de acesso a internet, normalmente atravs de uma rede sem fio wi-fi. Aplicaes tpicas incluem o acesso em Hotis, Aeroportos, Shoppings, Universidades, etc..
O conceito de HotSpot no entanto pode ser usado para dar acesso controlado a uma rede qualquer, com ou sem fio, atravs de autenticao baseada em nome de usurio e senha.
Quando em uma rea de cobertura de um HotSpot, um usurio que tente navegao pela WEB arremetido para uma pgina do HotSpot que pede suas credencias, normalmente usurio e senha. Ao fornec fornec-las e sendo um cliente autorizado pelo HotSpot o usurio ganha acesso internet podendo sua atividade ser controlada e bilhetada.
96
HotSpot no Mikrotik
Criao do Hotspot
* DICA - Adicione um IP a interface que voc quer trabalhar o hotspot antes de criar-lo. 1 Na aba servers, clique em Setup 2 Escolha a interface, que voc deseja Trabalhar o hotspot. 3 - Escolha o IP que voc vai trabalhar o Hotspot e se voc quer mascarar a rede. 4 D um pool de endereos que sero Distribudos para os usurios. 5 Selecione um Certificado SSL, caso Queira usar um.
97
HotSpot no Mikrotik
Criao do Hotspot cont.
6 Indique o IP do servidor SMTP, se houver e voc quiser. 7 Indique o IP do servidor DNS para o Hotspot. 8 Indique um nome para o hotspot Responder aos clientes. 9 Adicione um usurio padro para Acessar o hotspot. 10 Feito - OK.
98
HotSpot no Mikrotik
Firewall aps a criao do hotspot
Apesar da configurao automatizada e muito rpida, o Mikrotik se encarregou de fazer o trabalho pesado, criando regras apropriadas no firewall, bem como uma fila especifica para o HotSpot.
99
HotSpot no Mikrotik
Hotspot Server
Idle Timeout: Mximo perodo de tempo de inatividade para clientes autorizados. utilizado para detectar os clientes que esto conectados mas no esto trafegando dados. Atingindo o tempo configurado, o cliente retirado da lista dos hosts autorizados. Keepalive Timeout: Utilizado para detectar se o computador do cliente est ativo e respondendo. Caso nesse perodo de tempo o teste falhe, o usurio tirado da tabela de hosts e o endereo IP que ele estava usando liberado. Address Per MAC: Nmero de IPs permitidos para um determinado MAC.
100
HotSpot no Mikrotik
Hotspot Server Profile
1 - HTML Directory: Diretrio onde so colocadas as pginas desse hotspot. 2 - HTTP Proxy/Port: Endereo e porta do servidor de web proxy. 3 - SMTP Server: Endereo do servidor SMTP. 4 - Rate Limit: Usado para criar uma fila simples para todo o hotspot. Esta fila vai aps as filas dinmicas dos. usurios.
101
HotSpot no Mikrotik
Hotspot Server Profile
Aba Login
1 - MAC: Usa o MAC dos clientes primeiro como nome do usurio. Se existir na tabela de usurios local ou em um Radius, o cliente liberado sem usurio/senha. 2 - HTTP CHAP: Usa o mtodo criptografado. 3 - HTTP PAP: Usa autenticao em texto plano. 4 - Cookie: Usa HTTP cookies para autenticar sem pedir credenciais. Se o cliente no tiver mais o cookie ou se tiver expirado ele de pedir Login e senha novamente. 5 - HTTPS: Usa tnel SSL criptografado. Para que este mtodo funcione, um certificado vlido deve ser importado para o roteador. 6 - Trial: No requer autenticao por um determinado tempo. 7 - Split User Domain: Corta o domnio do usurio no caso de usar usuario@hotspot.com 8 - HTTP Cookie Lifetime: configura o tempo de vida dos cookies. 102
HotSpot no Mikrotik
Hotspot Server Profile
Aba RADIUS
1 - Use Radius: Utiliza servidor Radius para autenticao dos usurios do hotspot. 2 - Location ID e Location Name: Podem ser atribudos aqui ou no Radius. Normalmente deixado em branco. . 3 - Accounting: Usado para registrar o histrico de logins, trfego, desconexes, etc... 4 - Interim Update: Freqncia do envio de informaes de accounting. 0 significa assim que ocorre o evento. . 5 - Nas Port Type: Wireless, ethernet ou cabo. Informao meramente para referncia.
103
HotSpot no Mikrotik
Hotspot User Profile
1 - User Profile: usado para dar tratamento diferenciado a grupos (planos de acesso) de usurios, Como 1-Mega, 2-Megas, 4-Megas, etc... 2 - Session Timeout: Tempo mximo permitido. 3 - Idle Timeout/Timeout/Keepalive: Mesma explicao anterior, no entanto agora somente para este perfil de Usurios. 4 - Status Autorefresh: o tempo de refresh da pgina de Status do HotSpot. 5 - Shared Users: Nmero mximo de clientes com o mesmo username.
104
HotSpot no Mikrotik
1 - Os perfis de usurio podem conter os limites de velocidade de forma completa.
HotSpot no Mikrotik
Hotspot User Profile
1 - Incoming Filter: Nome do firewall chain aplicado aos pacotes que chegam do usurio deste perfil. 2 - Outgoing Filter: Nome do firewall chain aplicado aos pacotes vo para o usurio deste perfil. 3 - Incoming Packet Mark: Marca colocada automaticamente em pacotes oriundos de usurios deste perfil. 4 - Open Status Page: Mostra a pgina de status 4.1 - http-login: para usurios que logam pela WEB 4.2 - always: para todos usurios inclusive por MAC 5 - Tranparent Proxy - Se deve usar proxy transparente.
106
HotSpot no Mikrotik
Hotspot User Profile
1 - Com a opo Advertise possvel enviar de tempos em tempos popups para os usurios do HotSpot. 2 - Advertise URL: Lista de pginas que sero anunciadas. A lista cclica, ou seja, quando a ltima mostrada, comea-se novamente pela primeira. 3 - Advertise Interval: Intervalo de tempo de exibio de popups. Depois da sequncia terminada, usa sempre o intervalo. 4 - Advertise Timeout: Quanto tempo deve esperar para o anncio ser mostrado, antes de bloquear o acesso a rede. 4.1 - Pode ser configurado um tempo. 4.2 - Nunca bloquear. 4.3 - Bloquear imediatamente.
107
HotSpot no Mikrotik
Hotspot Users
108
HotSpot no Mikrotik
Hotspot Users
01- Server: all para todos hotspots ou para um especfico. 02 - Name: Nome do usurio. Se o modo Trial estiver ativado o hotspot colocar automaticamente o nome T-MAC_Address. No caso de autenticao por MAC, o mesmo. deve ser adicionado como username sem senha. 03 - Address: Endereo IP caso queira vincular esse usurio a um endereo fixo. 04 - MAC Address: Caso queira vincular esse usurio a um endereo MAC especifico. 05 - Profile: Perfil onde o usurio herda as propriedades. 06 - Routes: Rotas que sero adicionadas ao cliente quando se conectar. Sintaxe: Endereo destino gateway metrica. Vrias rotas separadas por vrgula podem ser adicionadas.
109
HotSpot no Mikrotik
Hotspot Users
01 - Limit Uptime: Limite mximo de tempo de conexo para o usurio. 02 - Limit Bytes In: Limite mximo de upload para o usurio. 03 - Limit Bytes Out: Limite mximo de download para o usurio. 04 - Limit Bytes Total: Limite mximo considerando o download + upload.
110
HotSpot no Mikrotik
111
HotSpot no Mikrotik
IP Bindings
Com este recurso possvel permitir a determinados endereos contornarem a autenticao do hotspot. Ou seja, sem ter que fazer o login para acessar a rede. Tambm possvel bloquear O acesso a determinados de endereos.
112
HotSpot no Mikrotik
IP Bindings
01 - MAC Address: mac original do cliente. 02 Address: Endereo IP do cliente. 03 - To Address: Endereo IP o qual o original deve ser traduzido. 04 Server: Servidor hotspot o qual a regra ser aplicada. 05 Type: Tipo do Binding 5.1 - Regular: faz traduo regular 1:1 5.2 - Bypassed: faz traduo mas dispensa o cliente de logar no hotspot. 5.3 - Blocked: a traduo no ser feita e todos os pacotes sero bloqueados.
113
HotSpot no Mikrotik
Walled Garden
Configurando um walled garden possvel oferecer ao usurio o acesso a determinados servios sem necessidade de autenticao. Por exemplo em um aeroporto poderia se disponibilizar informaes sobre o tempo ou at mesmo disponibilizar os sites dos principais prestadores de servio para que o cliente possa escolher qual plano quer comprar. Quando um usurio no logado no hotspot requisita um servio do walled garden o gateway no intercepta e, no caso do http, redireciona a requisio para o destino ou, um proxy. Para implementar o walled garden para requisies http, existe um web proxy embarcado no Mikrotik, de forma que todas requisies de usurios no autorizados passem de fato por esse proxy. Observar que o proxy embarcado no Mikrotik no tem a funo de cache, pelo menos por hora. Notar tambm que esse proxy faz parte do pacote system e no requer o pacote webproxy.
114
HotSpot no Mikrotik
Walled Garden
1 - importante salientar que o walled garden no se destina somente a servio WEB, mas qualquer servio que se queira configurar. Para tanto existem 2 menus distintos conforme do figuras ao lado. Sendo o menu de cima para HTTP e HTTPS e o de baixo para outros servios e protocolos (winbox, SSH, Telnet, SIP, etc..).
115
HotSpot no Mikrotik
Walled Garden
01 - Action: Permite ou nega. 02 - Server: Hotspot para o qual o walled garden vale. 03 - Src.Address: Endereo IP do usurio requisitante. 04 - Dst. Address: Endereo IP do web server. 05 - Method: Mtodo http ou https. 06 - Dst. Host: Nome do domnio do servidor de destino. 07 - Dst. Port: Porta de destino do servidor. 08 - Path: Caminho da requisio. Obs.: Nos nomes dos domnios necessrio o nome completo, podendo ser usado coringas. Tambm possvel utilizar expresses regulares devendo essas ser iniciadas com (:)
116
HotSpot no Mikrotik
Walled Garden
01 - Action: Aceita, descarta ou rejeita o pacote. 02 - Server: Hotspot para o qual o walled garden vale. 03 - Src. Address: Endereo IP do usurio requisitante. 04 - Dst. Address: Endereo IP do web server. 05 - Protocol: Protocolo a ser escolhido na lista. 06 - Dst. Port: Porta TCP ou UDP que ser requisitada. 07 - Dst. Host: Nome do domnio do servidor de destino.
117
HotSpot no Mikrotik
Cookies
Quando configurado o login por cookies, estes ficam armazenados no, hotspot com nome do usurio, MAC e tempo de validade. Enquanto estiverem vlidos o usurio no precisa efetuar o procedimento de login e senha. Podem ser deletados (-) forando assim o usurio a fazer o login novamente.
118
HotSpot no Mikrotik
Como Personalizar o HotSpot
01 - As pginas do hotspot so completamente configurveis e alm disso possvel criar conjuntos completamente diferentes das pginas do hotspot para vrios perfis de usurios especificando diferentes diretrios raiz. 02 - As principais pginas que so mostradas aos usurios so: 2.1 redirect.html redireciona o usurio a uma pgina especifica. 2.2 login.html pgina de login que pede usurio e senha ao cliente. Esta pgina tem os seguintes parmetros: 03 Username/password. 04 - Dst URL original que o usurio requisitou antes do redirecionamento e que ser aberta aps a autenticao do usurio. 05 - Popup Ser aberta uma janela popup quando o usurio se logar com sucesso.
119
HotSpot no Mikrotik
Laboratrio de Hotspot
01 Criar um servidor HOTSPOT, na interface 04-ether4. 02 Criar um Server Profile Personalizado, com login HTTP CHAP e com Cookie. Definindo tempo de vida dele para 2 minutos. 03 Criar um Perfil de Usurio, como tempo de inatividade de 3 minutos, Maximo de cliente logados como mesmo login 1. e configuracao das Velocidades dessa forma: 128k up, 750k down, burst up 256k e burst 1200k de down, Burst threshold up 256k e burst threshold down 750k, 60 segundos, prioridade 8, e garantia de 96k up e 512k down. 04 Criem um usuario e coloquem no profile que vocs criaram, entre com o usuario verifiquem o teste de velocidade e o menu SIMPLE QUEUE. 05 Faam atravs do IP Bindins, o usurio acessar sem precisar colocar login e senha. 06 Faam com que mesmo sem est logado, acessar a pagina www.silvestresolucoes.com.br
120
Duvidas???
121
SERVIDOR PPPoE
122
SERVIDOR PPPoE
PPPoE Cliente e Servidor
01 - PPPoE uma adaptao do PPP para funcionar em redes ethernet. Pelo fato da rede ethernet no ser ponto a ponto, o cabealho PPPoE inclui informaes sobre o remetente e o destinatrio, desperdiando mais banda. Cerca de 2% a mais. 02 - Muito usado para autenticao de clientes com base em Login e Senha. O PPPoE estabelece sesso e realiza autenticao com o provedor de acesso a internet. 03 - O cliente no tem IP configurado, o qual atribuido pelo Servidor PPPoE (concentrador) normalmente operando em conjunto com um servidor Radius. No Mikrotik no obrigatrio o uso de Radius pois o mesmo permite criao e gerenciamento de usurios e senhas em uma tabela local. 04 - PPPoE por padro no criptografado. O mtodo MPPE pode ser usado desde que o cliente suporte este mtodo.
123
SERVIDOR PPPoE
PPPoE Cliente e Servidor
01 - O cliente descobre o servidor atravs do protocolo pppoe discovery que tem o nome do servio a ser utilizado. 02 - Precisa estar no mesmo barramento fsico ou os dispositivos passarem pra frente as requisies PPPoE usando pppoe relay. 03 - No Mikrotik o valor padro do Keepalive Timeout 10, e funcionar bem na maioria dos casos. Se configurarmos pra zero, o servidor no desconectar os clientes at que os mesmos solicitem ou o servidor for reiniciado.
124
SERVIDOR PPPoE
Configurao do Servidor
01 Antes de mais nada, devemos Criar um pool de IPs para o servidor PPPoE
125
SERVIDOR PPPoE
Configurao do Servidor
02- Acrescente um perfil para o PPPoE e modifique os parmetros abaixo: 2.1 - Local Address = IP do servidor 2.2 Remote Address = pool-pppoe * O pool-pppoe deve ter sido criado no passo anterior.
126
SERVIDOR PPPoE
Configurao do Servidor
06 Acrescente um servidor PPPoE, clicando no + e em seguida altere os seguintes parametros: 07 - Service Name = Nome do servidor (onde os clientes vo procurar atravs do pppoe-discovery) 08 Interface = a interface que o servidor pppoe vai escutar.
127
SERVIDOR PPPoE
Configurao do Servidor
03 Acrescente um usurio e senha 04 Selecione o Service = pppoe 05 Profile = PPPoE
128
SERVIDOR PPPoE
Informaes extras Profile
01 - Bridge: Bridge para associar ao perfil 02 - Incoming/Outgoing Filter: Nome do canal do Outgoing firewall para pacotes entrando/saindo. 03 -Address List: Lista de endereos IP para associar ao perfil. 04 - DNS Server: Configurao dos servidores DNS a atribuir aos clientes.
129
SERVIDOR PPPoE
Informaes extras Profile
01 -Session Timeout: Durao mxima de uma sesso PPPoE. 02 - Idle Timeout: Perodo de ociosidade na transmisso de uma sesso. Se no houver trfego IP dentro do perodo configurado, a sesso terminada. 03 - Rate Limit: A limitao da velocidade na forma (rx-rate/tx-rate). Porm de ser usado tambm na forma
rx-rate/tx-rate rx-burst-rate/tx-burst-rate rx-burst-threshould/tx-burst-threshould burst-time priority rx-rate-min/tx-rate-min.
130
SERVIDOR PPPoE
Informaes extras Profile
01 -Session Timeout: Durao mxima de uma sesso PPPoE. 02 - Idle Timeout: Perodo de ociosidade na transmisso de uma sesso. Se no houver trfego IP dentro do perodo configurado, a sesso terminada. 03 - Rate Limit: A limitao da velocidade na forma (rx-rate/tx-rate). Porm de ser usado tambm na forma
rx-rate/tx-rate rx-burst-rate/tx-burst-rate rx-burst-threshould/tx-burst-threshould burst-time priority rx-rate-min/tx-rate-min.
131
SERVIDOR PPPoE
Informaes extras Secret
01 - Service: Especifica o servio disponvel para este cliente em particular. 02 - Caller ID: MAC Address do cliente. 03 -Local/Remote Address: Endereo IP Local (servidor) e remote(cliente) que podero ser atribudos a um cliente em particular. 04 - Limits Bytes IN/Out: Quantidade em bytes que o cliente pode trafegar por sesso PPPoE. 05 - Routes: Rotas que so criadas do lado do servidor para esse cliente especifico. Vrias rotas podem ser adicionadas separadas por vrgula.
132
SERVIDOR PPPoE
Um pouco mais de informao
O concentrador PPPoE do Mikrotik suporta mltiplos servidores para cada interface com diferentes nomes de servio. Alm do nome do servio, o nome do concentrador de acesso pode ser usado pelos clientes para identificar o acesso em que se deve registrar. O nome do concentrador a identidade do roteador. O valor de MTU/MRU inicialmente recomendado para o PPPoE 1480 bytes. Isto otimiza a transmisso de pacotes e evita problemas associados a MTU menor que 1500 bytes. At o momento no possumos nenhuma maneira de alterar a MTU da interface sem fio de clientes MS Windows. A opo One Session Per Host permite somente uma sesso por host(MAC Address). Por fim, Max Sessions define o nmero mximo de sesses que o concentrador suportar
133
SERVIDOR PPPoE
Aumentando a Segurana no PPPoE
01 Crie um Bridge (atribua um MAC a ela)
134
SERVIDOR PPPoE
Aumentando a Segurana no PPPoE
02 Em Ports, acrescente a interface que voc tinha selecionado para escutar o servidor PPPoE.
135
SERVIDOR PPPoE
Aumentando a Segurana no PPPoE
03 Em Filters vo ser configurados 3 regras 3.1 chain = input, MAC Protocol = pppoe-discovery, Action = accept 3.2 chain = input, MAC Protocol = pppoe-session, Action = accept
136
SERVIDOR PPPoE
Aumentando a Segurana no PPPoE
3.3 chain = input, Action =drop
137
SERVIDOR PPPoE
Aumentando a Segurana no PPPoE
4 Agora s alterar a interface de esculta em PPPoE-Server para bridge que voc criou.
138
SERVIDOR PPPoE
Laboratrio de PPPoE
01 Construa um servidor PPPoE com base nos slides com os seguintes paramentros: 02 Pool = 172.31.X.2-172.31.X.254 com o nome pool-pppoe 03 O Profile deve ter: Name = PPPoE_512k Local Address = 172.31.X1 Remote address = pool que voc criou Use Encrypion = yes Sesso maxima = 1 dia Tempo Ocioso = 1 hora Velocidades = 128k para upload e 512k download Somente uma sesso para o mesmo usurio 04 Crie uma conta para voc como seu nome e senha 05 Finalmente adicione um pppoe-server Name = PPPoE_nome, na ether3 Marque a opo = one session per host Authentication = mschap1 e mschap2 06 Use a tcnica de usar a bridge para aumentar a segurana 07 Crie um discador no seu notebook e se conecte e navegue.
139
Duvidas???
140
141
Introduo
PCC matcher lhe permitir dividir o trfego em fluxos de igualdade com capacidade de manter pacotes com conjunto especfico de opes em um fluxo particular (voc pode especificar este conjunto de opes de src-address, src-port, dst-address, dst-port)
142
PCC toma campos selecionados do cabealho IP, e com a ajuda de um algoritmo de hash converte campos selecionados em 32-bit valor. Este valor ento dividido por um denominador especifico e, em seguida, o restante comparado a um contador especifico, se iguais, ento pacotes sero capturados. Voc pode escolher entre src-address, dstaddress, src-port, dst-port do cabealho para usar nesta operao.
OBS.: O MAIS ESTAVEL E MAIS UTILIZADO A OPO booth address
143
O PCC (Per Connection Classifier) uma forma de balancear o trfego de acordo com um critrio de classificao pr-determinado das conexes. Os parametros de configurao so: contador denominador
Classificador
144
Comeando do zero!!!
1. No menu interfaces clique em + para adicionar uma interface PPPoE Client 2. Na figura 01, voc s precisa selecionar a interface que o discador PPPoE vai est ligado no modem (previamente colocado no modo bridge). 3. Na figura 02, voc s precisa preencher os dados do User e Password da sua operadora. 4. O depois da interface criada de um copy para criar a interface pppoe-out2. Lembrando de selecionar a interface 02-ether2, pois a mesma estar ligada no modem 2.
145
Firewall NAT
Como em qualquer roteador, quando precisamos ter nossa rede particular a partir de um nico endereo IP que nos foi destinado, teremos que natear a rede.
Faa isso para cada um dos links que voc pretende balancear, porm no nosso exemplo, como so 2 links, repita apenas mais uma vez, lembrando de trocar o campo Out. Interface para pppoe-out2.
146
Configurando o DNS
Voc tem uma gama de servidores DNS espalhados pelo mundo que pode usar, boa pratica utilizar os da prpria operadora e um DNS pblico como google ou OpenDNS. Exemplos de Servidores DNS GVT 200.175.5.139, 200.175.89.139 Oi 200.222.145.85, 200.149.55.142 Google 8.8.8.8, 8.8.4.4 OpenDNS 208.67.222.222, 208.67.220.220
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
Duvidas???
171
OBRIGADO
Nilo Augusto Maia de Lima E-mail para contato: nilo.augusto@gmail.com E-mail do grupo: treinamento-mikrotik-nilo-augusto@googlegroups.com
172