Certified Network Associate

(MTCNA)

Produzido por: Alive Solutions

Instrutor: Anderson M. Matozinhos
 Objetivos do curso
• Fornecer uma visão geral do RouterOS e
produtos RouterBOARD
• Laboratórios para configuração do
roteador MikroTik, manutenção e solução
de problemas básicos
 Objetivos do curso
Ao concluir este curso o aluno irá:
• Ser capaz de configurar, gerenciar e criar
soluções para problemas básicos em um
dispositivo MikroTik RouterOS
• Ser capaz de fornecer serviços básicos para
clientes
• Ter uma base sólida e ferramentas valiosas
para gerenciar uma rede
Certificações MikroTik

Para maiores informações:

6 [Link]
 MTCNA Outline
• Módulo 1: Introdução
• Módulo 2: DHCP
• Módulo 3: Bridging
• Módulo 4: Routing
• Módulo 5: Wireless
• Módulo 6: Firewall
 MTCNA Outline
• Módulo 7: QoS
• Módulo 8: Túneis
• Módulo 9: Ferramentas
• Modulo 10: Suporte
• Laboratórios durante cada módulo
• Outline detalhado disponível em
[Link]
 Agenda
• Treinamento diário: 08:00hs às 21:30hs
• Almoço: 12:00hs às 13:30hs
• Coffe break 1: 16:00hs às 16:30hs
• Coffe break 2: 19:00hs às 19:30hs
 Informações úteis
• Não use “Tóxicos” que possam te abduzir da sala de aula.
(facebook, whatsapp, telegram etc)
• Durante as explanações evite sair da frente da tela, você
poderá perder conteúdo valioso.
• Desabilite qualquer interface wireless, interface de
máquina virtual ou dispositivo 3G/4G/LTE em seu laptop
• Perguntas são sempre bem vindas. Muitas vezes a sua dúvida é
a dúvida de todos.
• O certificado de participação somente será concedido a
quem obtiver presença igual ou superior a 75%.
• Solicite seu certificado de participação em:
[Link]
Será enviado em até 15 dias.
 Anderson Marin Matozinhos

l Mineiro de Juiz de Fora há 14 anos em Belo Horizonte.

l MikroTik Official Trainer Partner (Praga, República Tcheca).
l MikroTik Official Consultant.
l Palestrante MUM Brasil: 2009 a 2019. MUM Europa 2013 (Zagreb).
l Gerente de redes atuando desde de 1999.
l MikroTik Certificações: MTCNA, MTCWE, MTCRE, MTCTCE,
MTCINE, MTCUME, MTCIPv6E, MTCSE.
l Microsoft Certificações: MCSE, MCP.
l Analista de Sistemas.
l Técnico em Eletrônica.
l E-mail: anderson@[Link]

12
 Apresente-se
• Seu nome, sua empresa e de onde é
• Seu conhecimento sobre redes
• Seu conhecimento sobre RouterOS
• O que você espera deste curso?
• O seu número (XY) será entregue: ___
• Anote o nome do seu parceiro de Labs
 Setup inicial

LA
B
Notebook

Ponto de
Ether2 Ether1 Cabo
Internet

RB com acesso a internet e Licensa L4

resetada com configuração padrão

OBS:
• Vamos precisar de uma RB com no mínimo 2 portas de rede cabeada e uma
porta wireless, para alguns laboratórios do modulo de wireless.
• A RouterBoard deverá estar com a configuração default rodando.

14
Setup inicial

LA
B
• Clique no botão:

System - Reset Configuration

• Depois clique no botão:

Reset Configuration

• A RouterBoard voltará
com configuração padrão.

15
Setup inicial

LA
B
Após a RB voltar do
reset…
• Clique no botão: OK

16
 Setup inicial

LA
B
• Teste a conectividade da RB com a internet usando o ping.
• Versão miníma do RouterOS 6.46.8
17
 Setup inicial

LA
B
• Copie e cole as linhas de comando abaixo, uma de cada vez.
/tool fetch url=[Link]

/import [Link]

• Em: Digite seu numero XY: digite seu número e pressione: ENTER
18
Certified Network Associate
(MTCNA)

Módulo 1
Introdução
 Sobre a MikroTik
• Fabricante de Software para router e de
Hardware
• Produtos indicados para ISPs, empresas e
residências
• Missão: Tornar as tecnologias de Internet
mais rápidas, mais poderosas e acessível
para todos os usuários
 Sobre a MikroTik
• 1996: Fundada
• 1997: RouterOS software para x86 (PC)
• 2002: Primeira RouterBOARD
• 2006: Primeiro MikroTik User Meeting
(MUM) - Praga, República Tcheca
• 2008: Primeiro MUM do Brasil em São Paulo
• 2018: O maior MUM: Indonesia, + de 3700
pessoas presentes 😱 😱 😱
 Sobre a MikroTik
• Localizada na Letônia
• + de 160 funcionários
• [Link]
• [Link]
MikroTik RouterOS
• É o sistema operacional do hardware
MikroTik RouterBOARD
• Também pode ser instalado em um
PC(x86) ou em máquina virtual (VM)
• Sistema operacional autônomo baseado no
kernel do Linux
 Funcionalidades do
RouterOS
• Suporte a todas tecnologias wireless
disponíveis 802.11 a/b/g/n/ac/ad/ax
• Firewall/controle de banda, QoS trafic shaping
• Tunelamento ponto a ponto (PPTP, PPPoE,
SSTP, OpenVPN)
• DHCP/Proxy/HotSpot
• E muito mais ... veja em: [Link]
MikroTik RouterBOARD
• Uma família inteira de soluções de hardware
criadas pela MikroTik que rodam RouterOS
• Equipamentos que vão desde roteadores
domésticos pequenos até concentradores de
acesso de nível de operadora
• Milhões de RouterBOARDs atualmente roteando
o mundo
MikroTik RouterBOARD
• Soluções integradas - prontas para usar
• Placas - para montagem de seu próprio sistema
• Cases – Criadas para as RouterBOARD
• Interfaces - para expansão de funcionalidade
• Acessórios
 Primeiro acesso
• Cabo serial
• Cabo Ethernet
• WiFi(equipamentos SOHO)
• Diretamente no console
• no caso de x86 Cabo
Ethernet
Cabo serial
WiFi
 Primeiro acesso
• WinBox – [Link]
• Winbox Mobile (IOS e Android)
• WebFig
• SSH
• Telnet
• Emulador de terminal em caso de conexão via
porta serial
 WinBox
• Endereço IP padrão (LAN): [Link]
• Usuário: admin
• Senha: (em branco)
 LA
MAC WinBox

B
• Observe a barra de título do WinBox se
está conectado usando o endereço IP
• Conecte-se ao roteador usando o
endereço MAC
• Observe a barra de título do WinBox
 WebFig
• Navegador - [Link]
 Quick Set
• Configuração básica do roteador através de
uma simples janela
• Acessível tanto no WinBox quanto no WebFig
• Mais detalhes no curso "Introdução ao
MikroTik RouterOS e RouterBOARD"
Configuração Padrão
• Diferentes configurações padrão são aplicadas
• Para mais informações veja em:
[Link]

• Exemplo: Roteadores SOHO – Cliente DHCP na *

Ether1, DHCP server no restante das porta + WiFi
• Podem ser descartadas e deixar o roteador limpo.
• Demais roteadores vêm configurado somente com
o endereço IP [Link] na ether1
*SOHO - Small Office, Home Office – Linha 750, 2011, 921, 951, etc...
 Comand Line Interface
(CLI)
• Disponível via SSH, Telnet or ‘New Terminal’
no WinBox e WebFig
Comand Line Interface
(CLI)
• <tab> completa o comando
• duplo <tab> mostra os comandos
disponíveis
• ‘?’ mostra ajuda
• Navegue nos comandos anteriores com os
botões <↑>, <↓>
 Interface de linha de
comando
• Estrutura hierárquica (similar ao menu do
WinBox)
• Para mais informações veja em:
[Link]

No WinBox: Interfaces
Versões do RouterOS
• Versões ( . . ) - Ex: 6.44.3 Apenas correções, não
há novos recursos.
• Versões ( . ) – Ex: 6.44 Versão atual com as
correções e novas funcionalidades.
Versões do RouterOS
• Long-term (Bugfix only) – Versão eleita pelo
suporte da MikroTik como versão com menos índices
de report de bugs.
• Stable (Current) – Versão atual novinha com novas
funcionalidades e correções da versão anterior.
• Testing (Release Candidate) – Versão em
desenvolvimento.
Atualização do RouterOS
• A maneira mais fácil de atualizar à partir da versão 6.31

System → Packages → Check For Updates

 Atualização do
RouterOS
• Faça download da atualização em
[Link]/download
• Verifique a arquitetura da CPU do seu router
• Arraste e solte dentro da janela do WinBox
- Outras maneiras: WebFig - Files, FTP, sFTP

• Reinicie sua RouterBoard

Gerenciando pacotes
• As funções do RouterOS são habilitadas /
desabilitadas no menu package list

System → Packages
 Pacotes do RouterOS
Pacote Funcionalidade
advanced-tools Netwatch, ip-scan, sms tool, wake-on-LAN

dhcp DHCP client e DHCP server

hotspot HotSpot captive portal server

ipv6 Suporte a IPv6

ppp PPP, PPTP, L2TP, PPPoE cliente e servidor

routing Roteamento dinâmico: RIP, BGP, OSPF

security WinBox seguro, SSH, IPsec

system Funcionalidades básicas: static routing, firewall, bridging, etc.

wireless Suporte 802.11 a/b/g/n/ac, CAPsMAN v2, Wireless FP

• Para mais informações acesse:

[Link]
Pacotes do RouterOS
• Cada arquitetura de CPU tem um pacote
combinado. Ex. ‘routeros-mipsbe’, ‘routeros-
tile’
• Esses pacotes combinados contêm todas as
funcionalidades padrão RouterOS (wireless,
dhcp, ppp, routing, etc.)
• Pacotes com funcionalidades extras podem
ser baixados da página
[Link]/download
 Pacotes extras do
RouterOS
• Fornece funcionalidades adicionais
• Para instalar a nova funcionalidade basta
enviar o pacote para o roteador e reinicia-lo
Pacote Funcionalidade
gps Suporte a dispositivos GPS
ntp Servidor Network Time Protocol
ups Suporte e gerenciamento para no-break APC UPS
user-manager MikroTik User Manager
 LA
Gerenciando pacotes

B
• Desative o pacote wireless
• Reinicie o router
• Observe a lista de interfaces
• Ative o pacote wireless
• Reinicie o router
Downgrade de pacotes
• A partir do menu System → Packages
• Clique em ‘Check For Updates’ e selecione um
Channel (canal) diferente (ex. bugfix-only)
• Clique em ‘Download & Install’
• Para retornar a versões anteriores você precisa
fazer o download da versão desejada, efetuar o
upload para o roteador e em seguida clicar:
Downgrade
 O
pc
LA
io
na
Downgrade

l
B
• Faça um downgrade manual para a versão
Long-term (bugfix-only) 6.46.8
 O
pc
LA
io
na
Upgrade

l
B
• Faça um upgrade para a versão atual “Long-
Term” (Bugfix)

• Automático
 RouterBOOT
• Firmware responsável por iniciar o
RouterOS nas RouterBOARDs
• Algumas RouterBOARDs possuem dois
boot loaders - principal e backup
• O principal pode ser atualizado
• O boot loader backup pode ser carregado,
se necessário
 RouterBOOT

System → Routerboard

• Veja mais em: Log

[Link]
 Router Identity
• Opção para definir um nome para que cada roteador
• As informações de identidade aparecem em vários locais
• Máximo 64 caracteres

System → Identity
 LA
Router Identity

B
• Defina a identidade do seu roteador da
seguinte forma:
SeuNumero(XY)_SeuNome
• Por exemplo: 33_PaulaFernandes
• Observe a barra de titulos do WinBox
Usuários do RouterOS
A lei do Tio Ben
Usuários do RouterOS
• Usuário admin(padrão) já vem com
permissão do grupo: full
• Grupos adicionais - read e write
• Você pode criar seu próprio grupo e
ajustar as permissões de acesso.
 Usuários do RouterOS

System → Users
System → Users - Groups
Veja mais em: [Link]
Usuários do RouterOS

LA
B
Aplicando a lei do Tio Ben
• Adicione um novo usuário para ao RouterOS com
acesso full (anote o nome e a senha)
• Mude o usuário admin para o grupo read
• Retire a permissão de reboot e sensitive do grupo
read.
• Entre com o novo usuário
• Entre como admin:
• Tente alterar as configurações, rebootar ou ver a
senha de wireless (não será possível)
• OBS: Não mexa no usuário: professor
 RouterOS Services
• Lista as diferentes maneiras de conectar-se ao
RouterOS
• API - Application Programming Interface
• FTP - para enviar/baixar arquivos de/para o
RouterOS

IP → Services
 RouterOS Services
• SSH – Interface de linha de comando segura
• Telnet – Interface de linha
• de comando insegura
• WinBox – Acesso GUI
• (Graphical User Interface) IP → Services
• WWW – Acesso pelo web browser
 RouterOS Services

IP → Services
• É recomendado desativar serviços não utilizados
• É altamente recomendado restringir o acesso, use o campo
‘available from’ e indique o(s) ip(s) ou sub-redes permitido(s).
• Portas padrão podem ser alteradas
 LA
RouterOS Services

B
• Desative todas as regras em: Ip - Firewall – Filter
• Acesse sua RB com o Winbox.
• Restrinja o acesso dos serviços: Winbox, SSH e
WWW para apenas sua rede ([Link]/24).
• Desative os outros serviços execeto telnet.
• Peça ao seu colega tentar acessar sua RB pelo IP
da Interface Professor.
Backup de configuração
• Existem dois tipos de backups:
l Backup de arquivos (.backup) - usado
para restaurar a configuração no mesmo
roteador.
l Exportação de arquivo (.rsc) - usado para
mover a configuração para outro
roteador pois o arquivo é editável e não
carrega informações físicas.
Backup de configuração
• Arquivo de backup pode ser criado e
restaurado no menu Files do WinBox
• O arquivo de backup é binário, e por
padrão criptografado com a senha do
usuário. Contém uma completa
configuração do roteador (senhas, chaves,
etc.)
Backup de configuração
• Você pode informar o nome do arquivo e a senha
para a encriptação.
• O Router identity e a data atual são usados para
gerar o nome de arquivo de backup
Backup de configuração
• Já o export(.rsc) é um script com a
configuração do roteador que pode ser
usado para restaurar seu backup.
• Arquivo em formato texto simples
(editável)
• Contém somente as modificações feitas
pelo administrador do router. Isto é, exclui
as configurações de fábrica.
Backup de configuração
• O arquivo no formato export(.rsc) pode ser
criado via terminal usando o comando
"export".
• As configurações integrais ou parciais do
roteador podem ser salvas no arquivo de
export. Como por exemplo:
l /export – backup completo do roteador
l /ip firewall export -backup somente do firewall

• A senhas dos usuários RouterOS não são

salvas quando usando o export
Backup de configuração

• Os arquivos são salvos na flash/ hd

Backup de configuração
• Caso seja necessário, você pode editar o arquivo e
efetuar as modificações desejadas.
• Pode ser usado para mover uma configuração para
outra RouterBOARD
• Pode ser restaurado usando o comando "import”
• Caso esteja aplicando um backup completo, é
recomendado que você limpe as configurações prévias
do router: /system reset no-default=yes
Backup de configuração
• Você pode baixar para a computador usando
WinBox (arrastando e soltando), FTP ou
WebFig.
• Não guarde a cópia do backup somente no
roteador! Não é uma boa estratégia de backup!
• É possível também automatizar a criação e
envio de backups utilizando scripts e os
agendadores(schedulers).
• Veja mais em: [Link]
Reset de configuração
• Neste menu você pode resetar para a configuração padrão de
fábrica.
• Keep User configuration: Mantém os usuários do RouterOS após
o reset
• CAPS Mode: Reseta e habilita modo CAPs mode (Controlled AP)
• No default Configuration: Reseta o roteador sem nenhuma
configuração(Nem a de fábrica).
• Run After Reset: Executa um script após o reset

System → Reset Configuration

Reset de configuração
• Usando o botão 'reset' físico do roteador
você pode:
• Carregar o RouterBOOT loader backup
• Resetar as configurações do router
• Habilitar modo CAPs mode (Controlled AP)
• Iniciar no modo Netinstall
• Para mais informações leia:
[Link]
 Netinstall
• Usado para instalar e reinstalar RouterOS nas RouterBoards
• É necessária conexão de rede direta com o roteador (pode
ser usado LAN sobre switch )
• O cabo deve ser conectado à porta Ether1 (exceto CCR e
RB1xxx – use a última porta)
• Funciona em Windows e Linux
• Utiliza o protocolo BOOTP
• Mais informações veja em:
[Link]
 Netinstall

• Disponível em: [Link]/download

 LA
Backup de configuração

B
• Crie um aquivo .backup
• Copie-o para o seu notebook
• Resete a configuração do roteador
• Copie o arquivo .backup de volta para o
roteador
• Restaure a configuração do roteador
 LA
Backup de configuração

B
• Demostração Backup com Export
 Licenças do RouterOS
• Todos as RouterBOARDs são
fornecidas com uma licença.

• Existem 6 níveis de licença.

[Link]

• Licensas do RouterOS não expiram

• Licenças para x86 e CHR podem ser
compradas em [Link]
ou em distribuidores oficiais. System → License
 Licenças do RouterOS
Level Type Typical Use

0 Modo Trial 24h de uso (sem limite de recursos)

Não expira, porém os recursos são muito
1 Free Demo
limitados
3 CPE Wireless client (station), volume only

4 AP Wireless AP: WISP, HOME, Office

5 ISP Suporta mais túneis que L4

6 Controller Recursos ilimitados do RouterOS

 CHR
Cloud Hosted Router

• Versão do RouterOS adaptada para execução em

ambientes virtuais
• Funciona no Vmware Workstation,VirtualBox, ESXi,
HyperV, KVM, XenServer, etc.
• Serviços em nuvem - Amazon, Azure e outros
• CHR disponível como OVA (OpenVirtual Appliance)
• Teste de 60 dias disponível
• A licença comprada pode ser transferida
Leia mais em: [Link]
 CHR
Licensing

• O licenciamento das CHR são sob limite de

velocidade e não por quantidade de usuários:

Licença Velocidade limitada em: Preço

Free 1Mbit Gratuita

P1 1Gbit US$ 45.00

P10 10Gbit US$ 95.00

P-Unlimited Unlimited US$ 250.00

CHR
Licensing

System → License
CHR
Licensing
CHR
Licensing
Módulo 1
Dúvidas??
Certified Network Associate
(MTCNA)

Módulo 2
DHCP
 DHCP
• Dynamic Host Configuration Protocol (protocolo
dinâmico de configuração de rede).
• Usado para distribuição automática de endereços
IP em uma rede local
• Use DHCP apenas em redes confiáveis
• Funciona dentro de um domínio de broadcast
• O RouterOS suporta tanto o modo cliente quanto
o modo servidor DHCP
 DHCP Client
• Usado para a aquisição automática de
endereço IP, máscara de sub-rede, gateway
padrão, endereço de servidor DNS e
configurações adicionais fornecidas
• Roteadores MikroTik SOHO por padrão
tem cliente DHCP configurado em Ether1
(Interface WAN)
DHCP Client

IP → DHCP Client
 DNS
• Por padrão DHCP client
solicita o endereço IP do
servidor DNS
• Pode também ser
introduzido manualmente
caso precise de outro
servidor DNS ou caso não
esteja usando DHCP.
IP → DNS
 DNS
• RouterOS suporta entradas DNS estáticas.
• Por padrao há uma entrada estática DNS A de
nome “router” apontando para [Link]
• Isso significa que você pode acessar o roteador
usando o nome DNS estático em vez de IP
• [Link]

IP → DNS → Static
 DHCP Server
• Atribui automaticamente endereços IP para
hosts que solicitem
• Um endereço IP deve ser configurado na
interface que o DHCP Server irá utilizar
• No terminal, para habilitar, use o comando
"DHCP Setup"
 LA
DHCP Server

B
• Desconecte-se do roteador
• Reconecte ao router usando MAC address
 LA
DHCP Server

B
• Vamos remover o Servidor DHCP
existente e configurar um novo
• Use o seu número (XY) para a sub-rede,
por exemplo: [Link].0/24
• Para habilitar o servidor DHCP na Bridge,
ele deve ser configurado na interface
Bridge. (não em uma porta da Bridge)
 LA
DHCP Server

B
Remova o
DHCP Server

Remova
DHCP Network
IP → DHCP Server
 LA
DHCP Server

B
Remova
IP Pool
IP → Pool

Remova
IP Address

IP → Address
 LA
DHCP Server

B
Adcione o
endereço de IP
[Link].1/24
na interface
bridge

• Por exemplo, XY=199

 LA
DHCP Server

B
1 2

3 4

5 6
IP → DHCP Server → DHCP Setup
 LA
DHCP Server

B
• Altere em: IP – Services a rede de acesso ao
Winbox, SSH e WWW para [Link].0/24.
• Desconecte-se do roteador
• Renove o endereço IP do seu notebook
• Conecte-se pelo novo endereço IP do
roteador [Link].1
• Verifique se a conexão com a Internet está
disponível
 DHCP Server
• O Assistente de
configuração do
DHCP Server(setup)
cria um novo pool de
Ips, o Servidor DHCP
e a Networks.
DHCP Leases estático
• É possível atribuir sempre o mesmo
endereço de IP para o mesmo dispositivo
(identificado pelo endereço MAC)
• O servidor DHCP poderia até ser usado
sem pool de IPs dinâmico. Basta somente
você atribuir todos os endereços através
das leases estáticas.
DHCP Leases estático

Converte lease
dinâmica para
estática

IP → DHCP Server → Leases

 LA
DHCP Leases estático

B
• Defina o endereçamento Pool do DHCP para static-only
• Crie uma lease estática para seu notebook
• Altere o endereço IP atribuído ao seu laptop por servidor
DHCP para [Link].123
• Renove o endereço de IP address do seu notebook
• ipconfig /release
ipconfig /renew
• Tudo ok? Faça um Backup Binário com nome: DHCP-Lease
 ARP
• Address Resolution Protocol
• ARP combina o endereço IP lógico(Camada
3) com o endereço físico MAC (Camada 2)
• Por padrão o ARP opera de forma dinâmica
• Também pode ser configurado manualmente
Modelo OSI
 ARP Table
• Fornece informações sobre o endereço IP,
o endereço MAC e a interface à qual o
dispositivo está conectado

IP → ARP
 ARP estático
• Para aumentar a segurança, as entradas ARP
podem ser adicionadas manualmente
• Neste caso, é recomendado que você altere a
Interface de rede para operar no modo reply-
only. Desta forma a interface só responde as
requisições ARP conhecidas
• Os clientes não serão capazes de acessar a
Internet usando um endereço IP diferente
ARP estático

Entrada ARP
estática

IP → ARP
 ARP estático

Interface irá
responder
apenas as
entradas ARP
conhecidas

Interfaces → bridge-local
 DHCP e ARP
• O servidor DHCP pode adicionar entradas
ARP automaticamente
• Combinando static leases e ARP reply-only,
você pode aumentar a segurança da rede,
mantendo a facilidade de uso do DHCP
para os usuários
DHCP e ARP

IP → DHCP Server

Adicionar entradas
ARP para as leases
DHCP
 LA
ARP estático

B
• Crie a entrada ARP do seu notebook estática
• Defina na interface bridge ARP=reply-only para
desativar entradas ARP dinâmicas
• Habilite ‘Add ARP For Leases’ no servidor DHCP
• Remova entrada estática do seu notebook da
tabela ARP
• Verifique a conexão com a Internet (não funciona)
 LA
ARP estático

B
• Renove o endereço IP do seu notebook
ipconfig /release
ipconfig /renew

• Verifique a conexão com a Internet (deve funcionar)

• Conecte-se com o roteador e observe a tabela ARP
Módulo 2
Dúvidas??
Certified Network Associate
(MTCNA)

Módulo 3
Bridging
 Bridge
• Bridges são dispositivos da camada 2 capazes de unir
interfaces em um mesmo domínio de broadcast
• A Bridge é um dispositivo transparente
• Tradicionalmente usado para unir dois segmentos de
rede
• A bridge divide domínio de colisão em duas partes
controlado via software *
• Já o Switch de rede é uma bridge multi-port - cada
porta é um domínio de colisão de um dispositivo
controlado via switch chip.
* Desde a versão 6.41 com a criação do hardware offload a bridge é controlada
via hardware quando a porta de rede em questão fizer parte do switch chip.
 Bridge
• Todos os hosts podem se comunicar diretamente
• Todos compartilham o mesmo domínio de colisão
 Bridge
• Todos os hosts ainda podem se comunicar
uns com os outros
• Agora, existem 2 domínios de colisão
 Bridge
• RouterOS implementa bridge via software *
• As interfaces ethernet, wireless, SFP e túneis podem ser
adicionadas a uma bridge
• À partir da versão 6.41 não existe mais interface master
e slave no switch. Implementada o HardwareOffloading.
• As ether de 2 a 5 são adcionadas a uma Bridge e se a
RouterBoard possuir switch chip essas portas serão
combinadas em um Switch. Operando neste modo a
velocidade switch pode ser alcançada com base na
capacidade do switch chip.
* Desde a versão 6.41 com a criação do hardware offload a bridge é controlada via
hardware quando a porta de rede em questão fizer parte do switch chip.
 Bridge
• O RouterOS ira ativar o HardwareOffloading
caso as funções da Bridge não estejam sendo
usadas.

Bridge → Ports
 Bridge
• Atenção: Ao não combinar as portas por
switch chip, eleva a utilização de CPU.
• O uso do switch chip não gera mais
consumo da CPU.
• Antes de fazer o upgrade para a versão
6.41 ou posterior é recomendado fazer
backup antes.
 Bridge
• Devido a limitações do padrão 802.11, os
clientes wireless (modo: station) não
suportam bridging
• RouterOS implementa vários outros
modos para superar essa limitação
 Wireless Bridge
• station bridge – Funciona somente de
RouterOS para RouterOS
• station pseudobridge - RouterOS para
quaisquer outros fabricantes
• station wds - RouterOS para RouterOS e
outros fabricantes que utilizam o padrão
atheros
 Wireless Bridge
• Wireless Distribution System (WDS) permite
a ligação entre múltiplos Access Points
• O WDS permite adicionar múltiplos clientes
wireless a uma única bridge
• Precisa usar o modo station-wds na interface
wireless do lado cliente
 Wireless Bridge
• Para usar WDS é preciso habilita-lo no AP
• Wireless mode no modo ap bridge
• WDS Mode: dynamic(mesh)
• WDS Default Bridge – interface bridge que os
clientes serão conectados

Wireless → wlan1 → WDS

 WDS
• Os links WDS são estabelecidos e as
interfaces dinâmicas são adicionadas
• Todos os clientes WDS estarão em bridge
 LA
Bridge

B
• Vamos criar uma grande rede.
• Coloque em bridge a interface ethernet local com
interface EoIP Professor
• Todos os notebooks estarão na mesma rede
• Nota: tenha cuidado ao trabalhar com redes em
bridge!
 LA
Bridge

B
• Desabilite o DHCP server
• Adicione a interface EoIP (Professor) em
ports da bridge já existente na bridge-local.
 LA
Bridge

B
Desabilite o
DHCP Server

IP → DHCP Server
 Bridge

LA
B
Adcione a interface
EoIP (Professor) na
bridge

Bridge → Ports
 LA
Bridge

B
• Renove o endereço IP do seu notebook.
• Você deve adquirir um IP do roteador do
professor.
• ipconfig /release
ipconfig /renew
• Seu roteador agora é uma bridge
transparente
 Bridge Firewall
• Para mais controle você pode usar a opção
“Use IP Firewall” para as portas da bridge
• No RouterOS a interface bridge suporta
firewall
• O tráfego que flui através da bridge pode ser
processado pelo firewall
• Para habilitar:
• Bridge →Settings →Use IP Firewall
Bridge Firewall
 LA
Bridge

B
• Restaure a configuração do roteador a partir
do backup que você criou (DHCP-Lease).

• Ou restaure a configuração anterior

manualmente.
Module 3
Dúvidas??
Certified Network Associate
(MTCNA)

Module 4
Routing
 Routing
• Trabalha na camada 3 do modelo OSI
• As regras de roteamento servem para definir
para onde os pacotes devem ser enviados

IP → Routes
 Routing
• Dst. Address: redes que podem ser
alcançadas(/0-32)
• Gateway: Endereço IP do próximo roteador
ao qual o pacote será enviado

IP → Routes
Nova Rota Estática

IP → Routes
 Routing
• Check gateway - a cada 10 segundos manda
um ICMP echo request (ping) ou solicitação
ARP. Caso não aja resposta após a segunda
tentativa a rota será desabilitada.
• Se tiverem várias rotas com o mesmo
gateway e uma delas tiver o check-gateway,
as demais rotas vão seguir o
comportamento da rota que está com
check-gateway.
 Routing
• Se existirem duas ou mais rotas apontando
para o mesmo endereço, a mais especifica
será utilizada
• Dst: [Link]/24, gateway: [Link]
• Dst: [Link]/25, gateway: [Link]
• Se um pacote tem que ser enviado para
[Link], o gateway [Link] será utilizado
 Default Gateway
• Default gateway: o router (next hop) para
onde todo o tráfego que nao possui
nenhuma rota específica definida será
enviado.
• É caracterizada pela rede de destino
[Link]/0
 LA
Default Gateway

B
• No momento o gateway padrão do
roteador está configurado
automaticamente usando DHCP-Client
• Desative a opção 'Add Default Route' em
configurações do DHCP-Client
• Verifique a conexão com a Internet (não
funciona)
 LA
Default Gateway

B
• Adicione manualmente um default gateway

• Verifique se a conexão com a Internet está

disponível
 Rotas dinâmicas
• Rotas com as flags DAC são adicionadas
automaticamente
• A rota DAC se origina da configuração de
um endereço IP em uma interface ativa

IP → Addresses

IP → Routes
 Route Flags
• A - active
• C - connected
• D - dynamic
• S – static
• B – Black Hole
• b - BGP

IP → Routes
Roteamento estático
• A rota estática define como alcançar uma
rede de destino específica
• Gateway padrão (default gateway) também
pode ser uma rota estática. Ele direciona
todo o tráfego para o gateway
 LA
Roteamento estático

B
[Link]/24

[Link].0/24 [Link].0/24

• O objetivo é conseguir pingar no notebook do seu colega.

152
 LA
Roteamento estático

B
• Vamos usar uma rota estática para alcança-lo.
• Pergunte ao seu vizinho o endereço IP da sua
interface wireless – que será o gateway.
• E o endereço de sub-rede da rede interna
dele ([Link].0/24).
 LA
Roteamento estático

B
• Adicione uma nova rota estática
• Defina o Dst. Address - da rede local do seu
vizinho (por exemplo, [Link]/24)
• Defina Gateway - o endereço da interface
EoIP Professor do seu colega. (por exemplo,
[Link])
• Agora você deve ser capaz de executar o ping
para o notebook do seu colega.
• OBS: desativem os firewall do Windows.
Roteamento estático
• Fácil de configurar em uma rede pequena
• Limita o uso de recursos do roteador
• Dificuldades de escalabilidade
l A configuração manual é necessária toda
vez que uma nova sub-rede precisa ser
alcançada
Módulo 4
Dúvidas??
Certified Network Associate
(MTCNA)

Módulo 5
Wireless
 Wireless
• MikroTik RouterOS provê suporte completo
aos padrões IEEE 802.11a/n/ac/ax* (5GHz),
802.11b/g/n (2.4GHz), 802.11ad (60 GHz)

* vem ai na versão 7 do RouterOS

 Padrões Wireless
IEEE Standard Frequency Speed

802.11a 5GHz 54Mbps

802.11b 2.4GHz 11Mbps

802.11g 2.4GHz 54Mbps

802.11n 2.4 e 5GHz Até 450 Mbps*

802.11ac 5GHz Até 1300 Mbps*

[Link] 60Ghz Até 6756 Mbps*

A depender do modelo da RouterBOARD

 Canais em 2.4GHz

l 13 canais de 22MHz (maior parte do mundo)

l 3 canais sem sobreposição (1, 6, 11)
l Portanto 3 APs podem ocupar a mesma área
sem causar interferência.
 Canais em 2.4GHz

l USA: 11 canais. (14º somente no Japão)

l Channel width = 20MHz e 2MHz deixado
como largura de guarda (802.11b)
l 802.11g 20MHz, 802.11n 20/40MHz
 Canais em 5GHz
l O RouterOS suporta integralmente as
frequências de 5GHz
l 5180-5320MHz (canais 36-64)
l 5500-5720MHz (canais 100-144)
l 5745-5825MHz (canais 149-165)
l Variações a depender da legislação de cada
país.
Canais em 5GHz
IEEE Standard Channel Width

802.11a 20MHz

20MHz
802.11n
40MHz

20MHz

40MHz
802.11ac
80MHz

160MHz
Regulamentação por país

•Mude para ‘Advanced Mode’ e selecione seu país

para que as regulamentações sejam aplicadas
Regulamentação por país
l Dynamic Frequency Selection (DFS) é um
recurso que visa a detecção de radares
quando se usa 5GHz. Ao detectar um radar, o
próprio sistema se encarrega de mudar de
canal
l Aqui no Brasil o uso do DFS é obrigatório
em toda faixa média (5350-5725) e parte da
faixa baixa (5250-5350)
 Regulamentação por país
l Quando o DFS é habilitado, ao detectar um radar,
ele irá escolher o canal com o menor número de
redes após 1 minuto.
l Desde a versão 6.37 o DFS trabalha de forma
automática dentro da regulamentação de cada país.
l Verifique a o range da cada país consultando dentro
do próprio RouterOS em:

/interface wireless info country-info brazil

 Radio Name
l Corresponde a identificação própria do rádio
l Não é o mesmo que Wireless
interface(general)
l Fácil identificação de RouterOS-RouterOS
 Radio Name
l Pode ser visualizado na Registration Table
l Reconhece também “Radio Names” de
outros rádios com chipset Atheros

Wireless → Registration
 Wireless Chains
l O padrão 802.11n introduziu o conceito do
MIMO (Multiple In and Multiple Out)
l Envia e recebe dados utilizando múltiplos
rádios em paralelo
l Sem o MIMO o padrão 802.11n só poderia
alcançar 72.2Mbps
 LA
Tx Power

B
l Usado para ajustar a potência de transmissão
do cartão
l Mude para “all rates fixed” e baixe a potência
para 15 dBm

Wireless → Tx Power
 Tx Power
• Note on implementation of Tx Power on
Wireless
card
Enabled
Chains
Potência por Chain Potência Total

RouterOS1 O selecionado em
Tx Power
O selecionado em
802.11n 2 +3dBm
Tx Power

3 +5dBm

O selecionado em
1
Tx Power
O selecionado em
802.11ac 2 -3dBm
Tx Power

3 -5dBm
 Rx Sensitivity
l Receiver sensitivity é o menor nível de sinal
que o cartão pode ler ou que é necessário
para atingir uma determinada modulação.
l Existem vários modelos de cartão
RouterBoard onde podemos ver estes
valores e levar isto em consideração na hora
de planejar seu cenário.
l Quanto menor for o RX Sensitive mínimo
necessário, mais fácil será fechar o enlace
Rede Wireless
AP

Wireless stations
 Wireless Station
l Wireless station é o cliente do AP (laptop,
smartphone, router, tablets, etc...)
l No RouterOS corresponde a wireless no
mode=station
l Modo compatível com qualquer fabricante
 Wireless Station
l interface
mode=station
l Selecionar a banda
l Setar SSID
l Frequency não é
importante no
modo cliente, use a
scan-list
 Security
l Somente WPA (WiFi Protected Access) ou
WPA2 deveriam ser usados
l WPA-PSK ou WPA2-PSK com AES-CCM é o
recomendado
l A encriptação AES não causa perda ou
aumento de CPU
 Security
l Ambos WPA e WPA2
podem ser utilizados ao
mesmo tempo. Isto
permite atender o
máximo de clientes.
l É importante que você
utilize chaves fortes. As
chaves devem ter entre
Wireless → Security Profiles
8 e 64 caracteres.
 WinBox Dica
• Para visualizar as senhas escondidas (exceto
senha de usuário), selecione:
Settings → Hide Passwords

Wireless → Security Profiles

 Connect List
l Regras utilizadas pela Station(cliente) para
determinar quais AP devem ou não se
conectar.

Wireless → Connect List

 LA
Connect List

B
l Atualmente os seus routers estão conectados
ao AP do professor.

l Crie uma regra para impedir esta conexão.

 Access Point
l interface mode=ap
bridge
l Selecionar a banda
l Setar SSID (wireless
network ID)
l Frequency deve estar
dentro da range de
scan das stations.
 WPS
l WiFi Protected Setup (WPS) é um recurso
para facilitar a conexão AP/ST sem a
necessidade de informar uma senha pré-
compartilhada.
l RouterOS suporta ambos modos:
- WPS accept (para o AP)
- WPS client (para a station)
 WPS Accept
l Para permitir acesso fácil ao seu AP você
pode utilizar o botão WPS accept.
l Quando pressionado, irá garantir acesso ao
AP por 2min ou até o dispositivo (station)
conectar.
l O botão WPS accept deve ser pressionado
toda vez que um novo dispositivo desejar se
conectar
 WPS Accept
l Para cada dispositivo basta efetuar a
operação somente uma vez.
l Todos dispositivos RouterOS com
interface WiFi tem o botão WPS
virtual.
l Alguns possuem o botão fisico.
Verifique no seu router.
 WPS Accept
l O botão WPS virtual está disponivel no
QuickSet e na interface wireless.
l Pode ser desabilitados caso deseje.
l WPS client é suportado pela maioria dos
sistemas.
l RouterOS não suporta o modo insecure
PIN.
 LA
Access Point + WPS

B
l Clique no botão Reset Configuration da wlan1
l Crie um novo security profile para seu access
point.
l Mude a interface wireless ”wlan1” para o mode ap
bridge, mude o SSID para o mesmo que seu radio
name e selecione o security profile criado e reduza
a potencia para 7dbm.
l Verifique se sua wlan1 esta na bridge
 LA
Access Point + WPS

B
l Observe se seu DHPC-Server tem um Pool ativo.
l Conecte seu celular ao seu AP digitando a senha.
l Se você tiver algum dispositivo que suporte WPS
client (Windows por exemplo), você pode se
conectar ao seu AP usando o botão WPS accept.
l Conecte-se ao seu router com WinBox e observe
a registration.
l Verifique os logs durante o proceso.
 Snooper
l Fornece uma visão geral das redes wireless
na banda selecionada
l A wireless irá desconectar durante o scan!
l Ferramenta útil para decidir qual canal utilizar.
Snooper

Wireless → Snooper
 Registration Table
l Mostra todas conexões da interface wireless.
l Caso a sua interface esteja no modo station a
coluna AP estará informando a palavra: yes

Wireless → Registration
 Access List
l Utilizada pelo access point para controlar o
acesso das stations
l Identifica os dispositivos pelo MAC address
l Permite informar se a station está ou não
autorizada a se conectar
l Permite especificar diversos parâmetros para
autorizar a conexão
 Access List

Wireless → Access List

 Access List
l Caso não exista nenhuma regra para um
determinado MAC, o default informado na
interface wireless será aplicado.
 Registration Table
l As entradas da
registration podem
ser utilizadas para
facilitar a criação da
Access List ou
Connect List.

Wireless → Registration
Default Authenticate
 Default Authenticate
Default Entradas na Comportamento
Authentication Access/Connect

sim Obdece a access/connect list

Sim
não Autentica

sim Obdece a access/connect list

Não
não Não autentica
 Default Forward
l Usado para
permitir/negar
comunicação entre as
stations
l default=enabled
l O forwarding entre
dispositivos específicos
pode ser controlado via
access list
 LA
Access List

B
l Usando a Access List crie uma entrada para o
MAC do seu celular com uma senha diferente.

l Mande seu celular esquecer a rede, e conecte

novamente com a nova senha.
Módulo 5
Dúvidas?
Certified Network Associate
(MTCNA)

Módulo 6
Firewall
 Firewall
l Sistema de segurança utilizado para proteger
a rede interna e o próprio router.
l Baseado em regras que são analisadas
sequencialmente até que algum pacote
combine exatamente com os termos da
regra.
l No RouterOS a regras de firewall são
gerenciadas em: Filter rules e NAT.
 Firewall Rules
l Funciona baseado sempre em uma determinada
condição. Caso a condição seja atendida, uma
ação é executada. Caso contrário o pacote segue
adiante.
l Ordenado por canais pre-definidos
- Input
- Output
- Forward

l É possível criar seu próprio canal também

 Firewall Filter
l Os canais pré-definidos são alimentados da
seguinte forma:
- Input: tráfego com destino no próprio router
- Forward: tráfego que passa pelo router
- Output: tráfego gerado pelo router

output
input

forward
 Filter Actions
l Cada regra possui uma ação – o que fazer
com o pacote
l A ação padrão do firewall é o: accept
l drop ou reject – descartam o pacote porém
o reject também envia uma mensagem ICMP
reject configuravel.
l jump/return – ir/voltar de um canal próprio
l Outras actions em: firewall wiki page
 Filter Actions

IP → Firewall → New Firewall Rule (+) → Action

 Filter Chains

IP → Firewall
l Dica: Para facilitar a visualização do firewall visualize
sempre por canal e na sequência de processamento. E
lembre-se sempre de comentar as regras.
 Chain: input
l Usada para proteção do próprio router
l Seja de um fluxo vindo da internet ou da rede
local

input
 LA
Chain: input

B
l Adicione um accept no input para o ip do
seu laptop ex: (Src. Address = [Link].123)
l Adicione um drop no input para o tráfego
restante.
 LA
Chain: input

B
IP → Firewall → New Firewall Rule (+)
 LA
Chain: input

B
l Altere o IP do seu laptop para estático:
[Link].199, gateway e dns: [Link].1
l Desconecte do router
l Tente conectar novamente (não será possível)
l Tente acesso a internet. (não será possível)
 LA
Chain: input

B
l Apesar do tráfego para a Internet ser
controlado pela chain forward, a navegação
não funciona mas consegue pingar em
endereços IP da internet.
l Porque? (resposta no próximo slide)
 LA
Chain: input

B
l Seu laptop está usando a sua RB para resolução
de nomes (DNS). Precisamos liberar o serviço.
l Conecte-se ao router usando MAC WinBox
l Adicione um accept acima do drop no input
para permitir requisições DNS:
- Protocolo:udp
- Porta: 53
l Agora a navegação será possível.
 LA
Chain: input

B
l Volte o IP do laptop para (DHCP)
l Conecte-se ao router
l Desabilite ou exclua as regras.
 Chain: forward
l Filtro usado para controlar o tráfego que
passa pelo router.
l Forward controla o tráfego entre os clientes
e a internet e vice-versa.

forward
 Chain: forward

l Em provedores o tráfego entre os clientes e a

internet exige raras restrições.

l Em redes corporativas a forward é muito

usada para proteção da rede local e políticas
de acesso a internet.
 LA
Chain: forward

B
l Adicione um drop para o tráfego http:
(80/tcp)
l Note que o tráfego https ficará disponível

IP → Firewall → New Firewall Rule (+)

 LA
Chain: forward

B
l Tente abrir [Link]

l Tente abrir [Link]

- Vai funcionar por ser https;

l Tente abrir o WebFig [Link]

- Vai funcionar por ser tráfego de input
Portas comuns usadas
Port Service
80/tcp HTTP
443/tcp HTTPS
22/tcp SSH
23/tcp Telnet
20,21/tcp FTP
8291/tcp WinBox
5678/udp MikroTik Neighbor Discovery
20561/udp MAC WinBox
161/162 udp/tcp SNMP
 Address List
l Address list permite criar grupo de IPs ou
Subnets que poderão ser referenciadas em
uma única regra.
l É possível criar essas listas de forma dinâmica
usando ações do firewall:
- add src/dst to address list

l Podem ser criadas também manualmente de

forma permanente ou temporária.
 Address List

IP → Firewall → Address Lists → New Firewall Address List (+)

 Address List
l À partir da versão 6.36 é possível adicionar o
nome do domínio às listas de endereços (as
entradas dinâmicas para os endereços
resolvidos serão adicionadas à lista
especificada);
 Address List - match
l As listas criadas podem ser usadas em regras
de firewall através da aba Advanced:
l Src. Address List (origem)

l Dst. Address List (destino)

IP → Firewall → New Firewall Rule (+) → Action

 Address List - action
l Caso prefira criar as listas de forma dinâmica
basta especificar o nome da lista e o tempo de
vida dela (timeout).
l Caso o timeout não seja especificado, a lista
será permanente.

IP → Firewall → New Firewall Rule (+) → Action

 Address List

LA
B
l Crie uma lista de ips com permissão de acesso em
seu router.
l Crie uma regra de accept para liberar acesso via
winbox para esta lista.
l Crie uma regra com a ação: add src to address list
para criar uma lista de IPs tentando acessar o seu
winbox por 1 dia.
l Crie um regra de drop para esta lista.
l Peça um colega para tentar acessar seu winbox pelo
seu IP da interface EOIP Professor.
 Firewall Log
l Você pode ativar o log para qualquer regra de
firewall
l Você pode adicionar um prefixo para facilitar
a identificação
 Firewall Log

IP → Firewall → Edit Firewall Rule →

Action
 LA
Firewall Log

B
l Habilite o log para as regras de aceita e dropa
do LAB anterior.
l Conecte-se ao router com ip permitido
l Desconecte, mude de IP e tente conectar
novamente
l Conecte agora via MAC-WinBox e veja os logs
l Caso o acesso via MAC não esteja satisfatório
mude o ip para um permitido
 NAT
l Network Address Translation (NAT) é o
método utilizado para re-escrever o
cabeçalho IP na origem ou no destino.
l Existem dois tipos de NAT:
- Source NAT
- Destination NAT
 NAT
l O NAT é comumente utilizado para prover
conectivade de uma rede privada(local) para a
rede pública(internet) com a ação src-nat ou
mascarade
l Ou para prover acesso externo a algum
equipamento ou serviço da rede interna com
a ação dst-nat
 NAT
Novo
Src address
Src address

IP privado
Servidor Público
 NAT
Novo
Dst Address Dst Address

Host Público
Servidor na rede
local
 NAT
• As chains srcnat e dstnat são utilizada
para implementar as funções do NAT.
• Da mesma forma que o Filter rules,
funcionam com expressões regulares.
• Também são analisadas em sequência até
que alguma regra seja atendida.
 Exemplo de Dst NAT
Novo Dst Address Dst Address
[Link]:80 [Link]:80

Host Público
Servidor Web Local
[Link]
 Dst NAT

IP → Firewall → NAT → New NAT Rule (+)

 Redirect
• Tipo especial de dstnat
• Esta ação redireciona o pacote para o
próprio router
• Utilizado para criar serviços de proxy
transparente tais como DNS e HTTP.
 Redirect
Requisição para: [Link]:53

Novo Dst Address para

Router:53
DNS
Cache
Redirect
 LA
Redirect

B
• Crie uma regra de dstnat redirect para
redirecionar todas requisições da porta 80
para a internet, para a porta 80 do router.
• Tente abrir [Link]
ou outro site qualquer utilizando http.
• Quando concluir pode desabilitar ou
remover a regra.
 Src NAT
Src address Novo Src address:
[Link] [Link]

[Link]
Public server

• O Masquerade é o tipo de NAT mais

comum srcnat
 Src NAT
• A ação src-nat permite reescrever o endereço
IP de origem e/ou porta para o desejado.
• Sempre que você tiver um ip wan estático utilize
o scr-nat ao invés do mascaradade. Isso vai
melhorar a performance do seu router.
 NAT Helpers
• Alguns protocolos exigem os chamados NAT
helpers para funcionar atrás de NAT.
• Eles auxiliam algumas funções que não podem
ser implementadas via firewall NAT.

IP → Firewall → Service Ports

 Connections State
• New – pacote que abre uma nova conexão
• Established – pacote pertence a uma
conexão previamente conhecida
• Related – pacote abre uma nova conexão
porém está relacionada a uma conexão
previamente conhecida.
• Invalid – pacote não abre e não pertence a
uma conexão previamente conhecida
Connections

Invalid Established
Novo Related
Connection Tracking
• Gerencia informações sobre todas
conexões ativas
• É necessária para habilitar as funções de
NAT, por exemplo.

• Obs.: connection state é diferente de TCP state

Connection Tracking

IP → Firewall → Connections
 FastTrack
• Método utilizado para acelerar o fluxo de
pacotes através do router. (v6.29)
• As conexões established ou related
podem ser marcadas para uso do fasttrack
• Estas conexões vão ignorar: firewall,
connection tracking, simple queue e outros
recursos relacionados.
• Suportado atualmente somente para os
protocolos TCP e UDP.
 FastTrack
Sem Com

360Mbps 890Mbps

Total CPU usage 100% Total CPU usage 86%

44% CPU usage on firewall 6% CPU usage on firewall

Testado na RB2011 com uma única stream TCP

• Mais informações em: FastTrack wiki page

FastTrack
Módulo 6
Dúvidas?
Certified Network Associate
(MTCNA)

Módulo 7
QoS
 Quality of Service
• QoS é aplicado para melhorar o
desempenho geral da rede. Especialmente
para garantia de funcionamento de serviços
essenciais como por exemplo: dns.
• O RouterOS implementa diversos métodos
de QoS como: limitação de velocidade, de
tráfego, priorização, etc...
Limitando velocidade
• Neste ponto é importante lembrar que não
temos controle sobre o tráfego de chegada.
(O que pode afetar o roteador)
• Em relação ao controle de velocidade é
possível evitar passar o fluxo adiante
efetuando descartes via firewall ou pela
própria fila.
• Desta forma o protocolo TCP irá adaptar a
velocidade efetiva.
 Simple Queue
• Pode ser utilizado para o simples, porém,
efetivo controle de:
• Velocidade de download (↓) do cliente
• Velocidade de upload (↑) do cliente
• Velocidade total agregada (↓ + ↑)
 Simple Queue
Velocidade total agregada (↓ + ↑)

Queues → New Simple Queue(+) Total

 Simple Queue

Especifica o cliente
Limites
máximo(up/down)

Queues → New Simple Queue(+)

• Lembre-se que o uso do FastTrack pode

interromper o funcionamento das queues.
 Torch
• Ferramenta para monitoramento em tempo real
Selecione IP
a interface notebook

Observe o
trafego

Tools → Torch
 LA
Simple Queue

B
• Crie uma limitação para seu laptop
([Link].123)
• Estabeleça: upload 256k e download: 512k
• Abra algum velocimetro e faça o teste
• Use o Torch para observar a velocidade
 Simple Queue
• É possível também, ao invés de setar velocidade para
o cliente, você setar velocidade para o servidor ou
algum site.

Qualquer(origem)
Destino a ser limitado

Queues
 LA
Simple Queue

B
• Usando o ping descubra o IP do site
[Link]
• Modifique a simple queue para o destino do IP
encontrado
• Acesse o site: [Link]/
• Faça o download de um arquivo.
• Observe a velocidade de download
• Agora faça um download em outro site e veja se foi
melhor(se a internet permitir)
 Banda garantida
• Recurso utilizado para garantir um mínimo de
banda sempre que demandado pelo cliente.
• O tráfego restante será dividido entre os
clientes com base no: “primeiro que chega é o
primeiro a sair”
• Controle feito através do parâmetro: Limit-at
• Demanda um Parent para funcionar de
forma satisfatória.
Banda Garantida

Queues → Simple Queue → Edit → Advanced

 Banda Garantida
• Exemplo:
• Total de banda: 10Mbits
• 3 computadores com garantia de banda
setada conforme o próximo slide
• As bandas serão garantidas e o tráfego
restante será dividido.
Banda Garantida

Queues
Banda Banda
Garantida utilizada
 Burst
• Utilizado para garantir banda extra(acima
do max-limit) por um curto periodo de
tempo.
• Muito útil para navegação web.
• Para operações de download não tem
eficácia alguma.
 Burst
• Burst limit – maximo de upload/download
que pode ser atingido durante o burst
• Burst time – tempo, em segundos, ao qual
será aplicado um cálculo médio de consumo
para determinar se o burst será ou não
permitido.
• Burst threshold – valor utilizado para
determinar se o burst será permitido. Só será
permitido se a média estiver abaixo deste
valor.
 Burst

Queues → Simple Queue → Edit

 Burst

• Inicialmente é dado ao cliente a banda burst-limit=512kbps.

• O algoritmo calcula a taxa média de consumo de banda durante o burst-
time de 8s.
• Com 1 segundo a taxa média é de 64kbps. Abaixo do threshold.
• Com 2 segundos a taxa média já é de 128kbps. Ainda abaixo do threshold.
• Com 3 segundos a taxa média é de 192kbps. Ponto de inflexão onde acaba o burst.
A partir deste momento a taxa máxima do cliente passa a ser o max-limit.
 Burst

LA
B
• Desative a queue criada no LAB anterior
• Crie uma queue e especifique:
• Max limit 512k de upload e 1M download
• Burst limit: 1M de upload e 2M download
• Burst threshold: 350k de upload e 700k
download
• Por fim um burst time de 8s para ambos
• Se a internet permitir
 LA
Burst

B
• Abra seu browser e teste a navegação
• Observe a velocidade alcançada na aba
Traffic da queue.
• Agora inicie um download e observe
novamente agora o burst sendo anulado.
Per Connection Queuing (PCQ)
• Tipo de fila usada para otimizar grandes
implementações de QoS, limitando por
'sub-stream'
• Substitui múltiplas filas por somente uma
• Diversos classificadores podem ser usados:
• source/destination IP address
• source/destination port
Per Connection Queuing
• Rate – máxima velocidade disponível por
cada sub-stream
• Limit – tamanho máximo da fila de uma
única sub-stream (KiB)
• Total Limit – quantidade máxima de
dados que poderá ser enfilerado
considerando todas sub-streams (KiB)
 Exemplo de uso do
PCQ
• Objetivo: limitar todos clientes a 1Mbps de
download e 1Mbps de upload
• Crie/configure 2 queue types(pcq)
• 1 para Dst Address (download)
• 1 para Scr Address (upload)
• Atribua as queues para as interfaces LAN e
WAN
• Configurações nos próximos slides
 Uso do PCQ

Queues → Queue Type → New Queue Type(+)

 Uso do PCQ

Interface
WAN

Interface
LAN
Queues → Interface Queues
 PCQ: resultado
• Todos clientes conectados a interface LAN terão
uma limitação de 1Mbps de upload e download

Tools → Torch
 LA
PCQ

B
• Crie uma fila pcq de forma a limitar todos
dispositivos a 1M de upload e download –
se a internet permitir;

• Tentem efetuar downloads ou testes de

velocidade e verifique o resultado.
Módulo 7
Dúvidas?
Certified Network Associate
(MTCNA)

Módulo 8
Tunnels
Point-to-Point Protocol
• Point-to-Point Protocol (PPP) é um dos
mais utilizados para estabelecer túneis
entre dois ponto.
• O PPP pode fornecer autenticação,
encriptação e compressão(pouco eficiente).
• RouterOS suporta diversos túneis PPP:
PPPoE, SSTP, PPTP, etc...
 PPPoE
• Point-to-Point Protocol over Ethernet é um
protoloco de camada 2 usado para
controlar acesso a rede.
• Não necessita de endereço IP na interface
do concentrador.
• O PPPoE entrega o ip diretamente ao
cliente na interface do túnel.
 PPPoE
• A maioria dos sistemas operacionais
possuem a opção de uso do cliente PPPoE
• O RouterOS suporta ambos PPPoE client e
PPPoE server simultaneamente no mesmo
roteador.
 PPPoE Client
Selecione a
interface,
service,
username e
password

PPP → New PPPoE Client(+)

 PPPoE Client
• O service name pode ser informado para
evitar conexão com um servidor pppoe
não desejado caso exista mais de 1 no
mesmo domínio de broadcast.
• Caso contrário o pppoe client se conecta
ao servidor que primeiro responder.
 LA
PPPoE Client

B
• O instrutor irá criar um PPPoE server
• Desabilite o DHCP client do seu router na
Interface do Professor
• Crie um PPPoE client na interface do
Professor do seu router com o seguinte login:
Usuário: mtcna
Senha: mtcna
Use encriptação
 LA
PPPoE Client

B
• Desabilte Add Default Route*
• Habilite Use Peer DNS
• Verifique se seu pppoe client se conectou

* Desabilte esse opção para o pppoe não

derrumar sua internet.
Em um cenário normal essa opção fica
marcada.
 LA
PPPoE Client

B
Despois de testado e ok!!!!

• Habilite o DHCP-Client
• Remova o PPPoE Client
 IP Pool
• Define a range de IPs que será
disponibilizada para os serviços:
• DHCP, PPP e clientes HotSpot

• O endereçamento é retirado do pool

automaticamente do final do pool para o
inicio.
 IP Pool

Escolha o nome
do pool e a range
de endereços

IP → Pool → New IP Pool(+)

 PPP Profile
• Define um conjunto de regras a serem
aplicadas aos clientes ppp
• É possível personalizar o perfil default
para opções padrão em todos os perfis e
em seguida basta somente efetuar as
alterações necessárias nos demais perfis.
 PPP Profile

Endereço
local e
remoto do
túnel

Recomendado o
uso de
encriptação

PPP → Profiles → New PPP Profile(+)

 PPP Secret
• Base local de cadastro de usuários PPP
• Username, password e outros parâmetros podem
ser configurados
• As demais configurações são informadas pelo PPP
profile escolhido
• As opções informadas no PPP secret tem
preferência sobre as do PPP profile
• Funciona também com autenticação
remota(Radius)
 PPP Secret

Selecione o
username,
password e o
profile.

PPP → Secrets → New PPP Secret(+)

 PPPoE Server
• O PPPoE server funciona sob interfaces
• Não vai funcionar caso seja configurado em uma
interface que participe de alguma bridge.
• Neste caso você pode remover a interface da
bridge ou configurar o server para atuar sob a
bridge.
• Por questões de segurança não se deve adicionar
endereços IPs nas interfaces dos concentradores.
 PPPoE Server

Informe o
service name,
interface, profile
e as formas de
autenticação
 PPP Status

• Informação atual
sobre os clientes
ppp conectados

PPP → Active Connections

Point-to-Point Addresses
• Quando a conexão entre o cliente e
servidor ppp é estabelecida, um endereço
/32 é criado na interface.
• Para o cliente, o endereço de rede
corresponde ao servidor ou gateway.
Point-to-Point Addresses
• A máscara de subrede não é relevante para o
endereçamento ponto-a-ponto(/32)

• Este tipo de endereçamento economiza

bastante IP e pode ser usado também em
qualquer interface caso ambas pontas
suportem este tipo de endereçamento.
 LA
PPPoE Server

B
• Configure um PPPoE server em uma
interface livre do seu roteador
• Caso ela esteja em bridge remova
• Caso esteja em alguma brigde remova ela
também da bridge
 LA
PPPoE Server

B
• Crie um IP pool, PPP profile e um secret
para o PPPoE server
• Crie o PPPoE server
• Configure o PPPoE client no seu notebook
• Conecte na porta do PPPoE server e
disque o pppoe no seu notebook
• Verifique a conexão com a internet
 PPPoE Server

LA
B
• Conecte na RB e configura o status do seu ppp.
Caso o pppoe tenha falhado, volte para a porta
ether2 e verifique a configuração.
• Lembre-se de adcionar o pool do PPPoE no
IP – Service
• Para acessar a RB use um dos Ips dela de wan
ou de lan)
• Ao concluir você pode retornar o cabo a porta
anterior e se conectar novamente via IP.
 PPTP
• Point-to-point tunnelling protocol (PPTP)
provê tuneis encriptados pela rede IP
• Utilizado para criar conexões “seguras”
entre redes locais via Internet
• O RouterOS suporta ambos PPTP client e
PPTP server simultaneamente
 PPTP
• Utiliza o protocolo tcp na porta1723 e o
protocolo GRE (Generic Routing
Encapsulation)
• NAT helpers são necessários para os túneis
atrás de redes “NATeadas”.
PPP Tunnel

Tunnel
 PPTP Client

Informe o
name, IP do
PPTP server,
username e
password

PPP → Novo PPTP Client(+)

 PPTP Client
• Você pode usar a opção “Add Default Route”
para enviar todo tráfego pelo túnel
• Caso não queira isto, você pode criar rotas
estáticas especificas para o túnel.
• Observação: PPTP não é mais considerado
tão seguro – use com precaução!
• Uma boa alternativa é usar SSTP, OpenVPN
ou L2TP com IPSec.
 SSTP
• Secure Socket Tunnelling Protocol (SSTP)
provê túneis encriptados sobre a rede IP
• Utiliza o protocolo tcp e porta 443 (sim, a
mesma do HTTPS)
• O RouterOS suporta ambos SSTP client e
SSTP server ao mesmo tempo
• O SSTP client está disponível a partir do
Windows Vista SP1 e pode ser instalado
também em outros sistemas operacionais.
 SSTP
• Existe uma implementação Open Source
disponível no Linux
• Por ter a mesma configuração do HTTPS
geralmente é simples transpor os firewalls.
 SSTP Client
Informe o
name, IP do
servidor
SSTP server
username e
password
 SSTP Client
• Da mesma forma que o PPTP você pode
utilizar a opção “Add default route”para
enviar todo tráfego pela VPN ou adicionar
somente algumas rotas estáticas especificas.
 SSTP Client
• O SSTP permite uso de certificados SSL.
Porém caso seja feito entre dispositivos
RouterOS o certificado é opcional.
• Para se conectar a partir de um
equipamento windows o certificado válido
é obrigatório.
• Os certificados podem ser gerados no
próprio RouterOS(6.x+).
 Certificados

System → Certificates (+)

 VPN Server
• Para Habilitar os servidores VPN

PPP → Interface (+)

 LA
VPN

B
Tunnel
 LA
PPTP/SSTP

B
• Formem duplas
• Primeiramente um aluno cria o server e o outro
cria o cliente. Em seguida alternem(se desejar).
• Você pode reaproveitar as configurações prévia
de pool, profile e secret. Isso vale para qualquer
PPP.
• Somente verifique em secrets que o serviço
deve estar adequado a demanda correta ou
simplesmente use any para todos.
 LA
PPTP/SSTP

B
• Caso não consiga conectar, verifique o log.
• Caso o log não informe nada, verifique as
regras de firewall.
l Lembre-se que o PPTP usa tcp/1723 e o
protocolo GRE. O SSTP usa tcp/443.
• Ping para no notebook do seu vizinho. (não
está pingando??!!)
• Porque? (resposta no próximo slide)
 LA
PPTP/SSTP

B
• Não existe rota para alcançar as redes
locais.
• Ambos precisam criar rotas estáticas
apontando para o tunel.
• Adicionem rotas estáticas que garantam
esta alcançabilidade.
• Tente novamente. Agora deve funcionar.
 PPP
• Maiores detalhes sobre PPPoE, PPTP, SSTP e
outros protocolos são cobertos nos cursos
MTCRE, MTCUME e MTCSE
• Todos outlines estão em:
[Link]
Módulo 8
Dúvidas?
Certified Network Associate
(MTCNA)

Módulo 9
Outras ferramentas
 RouterOS Tools
• O RouterOS provê
diversas ferramentas
utilitárias que facilitam o
diagnostico de problemas
e execução de testes.
 E-mail
• Permite enviar emails a
partir do router
• Por exemplo para backup
Tools → Email
/export file=export
/tool e-mail send to=you@[Link]\
subject="$[/system identity get name] export"\
body="$[/system clock get date]\
configuration file" file=[Link]
Acima um script para fazer um export e enviar via e-mail
 Netwatch
• Monitora o estado dos
hosts informados
• Envia ICMP echo
requests (ping)
• É capaz de executar um
script nas ações de UP
ou DOWN
Tools → Netwatch
 Ping
• Usado para teste de
alcançabilidade IP
• Também mede o tempo
de resposta para um
determinado host
• Envia pacotes de ICMP
echo request
Tools → Ping
 Traceroute
• Ferramenta de
diagnostico de rede
que informa o
caminho até o
destino
• Você pode usar os
protocolos icmp
ou udp para os
Tools → Traceroute
testes.
 O
pc
LA
io
na
Traceroute

l
B
• Escolha um endereço(.br) e execute um
traceroute
• Clique em ‘New Window’ e faça outro
traceroute para [Link]
• Observe a diferença de rotas
 Profile
• Informa o consumo de
CPU feito por cada
processo do RouterOS em
tempo real
• Para mais detalhes Tools → Profile
consulte: Profile wiki page
Interface Traffic Monitor
• Monitoramento de
tráfego em tempo real
• Disponível na
aba(traffic) de qualquer
interface
• Pode ser acessado
também via WebFig ou
CLI
Interfaces → wlan1 → Traffic
 Torch
• Outra ferramenta de monitoramento em
tempo real
• Usada para analisar o fluxo de dados de
cada interface
• Pode monitorar o tráfego classificado por:
protocolo, source/destination address
(IPv4/IPv6), porta, DSCP, etc...
Torch

Tools → Torch
 System Logs
• Por padrão o RouterOS já faz
log de informações do sistema;
• Estas informações são
armazenados na memória ram;
• Porém podem ser armazenada
em disco(disk) também
• Ou enviadas(remote) a um System → Logging
servidor syslog -
recomendado.
 System Logs
• Para um log
detalhado basta criar
sua regra de log
desejada e adicionar
o topic: debug System → Logging → New Log Rule
 Graphs
• O RouterOS pode gerar gráficos
demonstrando quanto de tráfego passou
por uma determinada interface ou queue.
• Também pode informar o uso de CPU,
memória e uso de disco.
• Para cada item monitorado existem 4
gráficos disponíveis: daily, weekly, monthly e
yearly
 Graphs
Informe a interface
para monitorar ou
deixe em all e
informe o IP
address/subnet
para o qual deseja
gerar gráficos

Tools → Graphing
 Graphs

• Você pode consultar as informações no roteador

pelo endereço: [Link]
Graphs
 SNMP
• Simple Network Management Protocol
(SNMP)
• Usado para monitorar e gerenciar
dispositivos
• O RouterOS suporta o SNMP v1, v2 e v3
• SNMP write também é suportado
• Usa as portas 161/162 (tcp e udp)
SNMP

IP → SNMP
 The Dude
• Aplicativo criado pela MikroTik que facilita
o monitoramento e gerenciamento de sua
rede
• É capaz de descobrir os dispositivos de
forma automática e montar o layout
• Monitora diversos serviços e gera alertas
• Gratuito
 The Dude
• Suporta SNMP, ICMP, DNS e diversos
outros monitoramentos TCP/IP
• O servidor roda no RouterOS em: CCR,
ARM, CHR, x86 ou ARM64.
l Servidor para windows em versão legada

• O client roda no Windows (roda no Linux

e OS X também se você usar o Wine)
• Para mais informações: The Dude wiki page
The Dude
Certified Network Associate
(MTCNA)

Módulo 10
Suporte
Contactando o Suporte
• Para facilitar qualquer solicitação ao suporte é
importante que o máximo de informações sejam
passadas.
• Você pode criar um arquivo chamado [Link] e
enviar junto com seu pedido.
• Este arquivo equivale a uma “foto” daquele momento
no seu router.
Contactando o suporte
• Um arquivo chamado: [Link] pode
ser criado automaticamente pelo sistema
em caso de mal-funcionamento do router
• Está opção pode ser desativada no
watchdog
• Antes de solicitar um suporte a MikroTik,
você pode visualizar o [Link] em sua
conta: [Link] > account
Contactando o Suporte
• Antes e contactar o support@[Link]
ou [Link] vale a pena
verificar a documentação:
• [Link] - Documentação do
RouterOS e alguns exemplos
• [Link] - forum oficial
• [Link] - MikroTik User Meeting
– contém apresentações em video e slides.
Contactando o Suporte
• É muito importante que as informações no
router estejam comentadas
• Tente detalhar o máximo possível o problema.
Isso vai fazer com que a equipe de suporte da
MikroTik possa lhe ajudar melhor.
• Se possível inclua um diagrama da rede ou
acesso no seu dude.
• Para mais informações consulte:
[Link]/support
Visitem nosso site...
Confira nossa agenda de treinamentos

[Link]
351
Visitem nossa loja
Os melhores treinamentos MikroTik por todo o Brasil.

352
[Link]
Grupo de alunos
Alive Solutions

353
Certified Network Associate
(MTCNA)

Obrigado!!!