Treinamento oficial Mikrotik

Modulo MTCUME
(MikroTik Certified User Manager Engineer)
 Agenda
Treinamento das 08:30hs às 18:30hs

Coffe break as 16:00hs

Almoço as 12:30hs – 1 hora de duração

1- Introdução 2
 Importante
Curso oficial: Proibido ser filmado ou gravado.
Celular: Desligado ou em modo silencioso.
Perguntas: Sempre bem vindas.
Internet: Evite o uso inapropriado.
Aprendizado: Busque absorver conceitos.

Evite conversas paralelas.

Deixe habilitado somente a interface ethernet de
seu computador.

1- Introdução 3
 Apresente-se a turma
Diga seu nome.
Com que trabalha.
Seu conhecimento sobre o RouterOS.
Seu conhecimento com redes.
O que espera desse treinamento.

1- Introdução 4
 Objetivos do curso
Abordar todos os tópicos necessários para o
exame de certificação MTCUME.
Prover um visão geral sobre gerência de
usuários e túneis.
Fazer uma abordagem simples e objetiva de
como planejar e implementar túneis
criptografados com foco em segurança e
prover controle de acesso com as ferramentas
de gerência de usuários no RouterOS

1- Introdução 5
 Primeiros passos:
Conecte o seu laptop na Ether3 de seu roteador
Abra o winbox clique em
Clique no endereço MAC ou IP.
No campo Login coloque “admin”.
No campo Password deixe em branco.
Clique em connect.
Nos Menus a esquerda clique em “New Terminal”.
Com terminal aberto digite:
/system reset-configuration no-defaults=yes
Dica: Ao digitar comandos no terminal use a tecla [TAB] para auto completar.

1- Introdução 6
Diagrama da rede Internet

IP para os roteadores
WLAN1172.25.100.GR/24
G=2 R=1 G=2 R=2
G=1 R=1 G=1 R=2

IP ETHER3
10.G.R.254

IP para os computadores: IP para os computadores:

10.G.R.1 10.G.R.2

Lembre-se de seu número: GR

1- Introdução 7
Identificando seu roteador

Lembre-se de seu número: GR

1- Introdução 8
Adicionando rota Default

1- Introdução 9
 Backup
Apague todos os arquivos no menu files.
Faça um backup com nome topoligia-1 e salve
seu computador.

system backup save name=topologia-1

1- Introdução 10
Dúvidas e perguntas ?

1- Introdução 11
 Tunelamento
• A definição de tunelamento é a capacidade de criar túneis entre dois
hosts por onde trafegam dados.
• O Mikrotik implementa diversos tipos de tunelamento, podendo ser
tanto servidor como cliente desses protocolos:
– PPP (Point to Point Protocol)
– PPPoE (Point to Point Protocol over Ethernet)
– PPTP (Point to Point Tunneling Protocol)
– L2TP (Layer 2 Tunneling Protocol)
– SSTP (Secure Socket Tunneling Protocol)
– OVPN (Open Virtual Private Network)
– IPSec (IP Security)
– Túneis IPIP
– Túneis EoIP
– Túneis VPLS
– Túneis TE
– Túneis GRE

2 - Tuneis e VPN 12
Túneis EoIP

2 - Tuneis e VPN 13
 Túneis EoIP
• O Túnel EoIP (IP Protocol 47/GRE) é um túnel de camada 2 (ISO/OSI
L2) e por isso permite a função de Bridge dos roteadores que estão
interligados, todo o tráfego é passado de uma lado para o outro de
forma transparente mesmo passando pela internet.
• EoIP(Ethernet over IP) é um protocolo proprietário Mikrotik para
encapsulamento de todo tipo de tráfego sobre o protocolo IP.
• O protocolo EoIP possibilita:
- Interligação em bridge de LANs remotas através da internet.
- Interligação em bridge de LANs através de túneis criptografados.
• A interface criada pelo túnel EoIP suporta todas funcionalidades de
uma interface ethernet. Endereços IP e outros túneis podem ser
configurados na interface EoIP.
• A única exigência do túnel EoIP é que é necessário ter
conectividade fim-a-fim entre os dois sites, ou seja, no eoip é
necessário especificar o lado remoto.

2 - Tuneis e VPN 14
 Criação dos Túneis EoIP
• É necessário especificar o ip do lado remoto, além disto o
tunnel id, que deve ser igual em ambos os roteadores.

2 - Tuneis e VPN 15
 PPP – Definições Comuns para os
serviços
• MTU/MRU: Unidade máximas de transmissão/ recepção em
bytes. Normalmente o padrão ethernet permite 1500 bytes.
Em serviços PPP que precisam encapsular os pacotes, deve-se
definir valores menores para evitar fragmentação.

• Keepalive Timeout: Define o período de tempo em segundos após o qual

o roteador começa a mandar pacotes de keepalive por segundo. Se
nenhuma reposta é recebida pelo período de 2 vezes o definido em
keepalive timeout o cliente é considerado desconectado.

• Authentication: As formas de autenticação permitidas são:

– Pap: Usuário e senha em texto plano sem criptografica.
– Chap: Usuário e senha com criptografia.
– Mschap1: Versão chap da Microsoft conf. RFC 2433
– Mschap2: Versão chap da Microsoft conf. RFC 2759

2 - Tuneis e VPN 16
 PPP – Definições Comuns para os
serviços
• PMTUD: Se durante uma comunicação alguma estação enviar pacotes IP
maiores que a rede suporte, ou seja, maiores que a MTU do caminho, então
será necessário que haja algum mecanismo para avisar que esta estação
deverá diminuir o tamanho dos pacotes para que a comunicação ocorra
com sucesso. O processo interativo de envio de pacotes em determinados
tamanhos, a resposta dos roteadores intermediarios e a adequação dos
pacotes posteriores é chamada Path MTU Discovery ou PMTUD.
Normalmente esta funcionalidade está presente em todos roteadores,
sistemas Unix e no Mikrotik ROS.

• MRRU: Tamanho máximo do pacote, em bytes, que poderá ser recebido

pelo link. Se um pacote ultrapassa esse valor ele será dividido em pacotes
menores, permitindo o melhor dimensionamento do túnel. Especificar o
MRRU significa permitir MP (Multilink PPP) sobre túnel simples. Essa
configuração é útil para o PMTUD superar falhas. Para isso o MP deve ser
configurado em ambos lados.

2 - Tuneis e VPN 17
MULTILINK PPP Sobre túnel simples

1- Introdução 18
MULTILINK PPP Sobre túnel simples

1- Introdução 19
MULTILINK PPP Sobre mútiplos enlaces
• Modo cliente está disonível a partir da 3.10
• No RouterOs não suporta o modo server com
multilink ppp, apenas o cliente
• Para configurar o MLPPP em interfaces e
definir mais de uma interface.

1- Introdução 20
 MSSS
Maximun Segment Size, tamanho máximo do segmento de dados. Um
pacote MSS que ultrapasse o MSS dos roteadores por onde o túnel está
estabelecido deve ser fragmentado antes de enviá-lo. Os pacotes de 1500
bytes, padrão da interface ethernet tem problemas para passar por um
túnel ppp.

Em alguns caso o PMTUD está quebrado ou os roteadores não conseguem

trocar informações de maneira eficiente e causam uma série de problemas
com transferência HTTP, FTP, POP, etc... Neste caso Mikrotik proporciona
ferramentas onde é possível interferir e configurar uma diminuição do MSS
dos próximos pacotes através do túnel visando resolver o problema.

Para executar essa dimuniução o RouterOS automaticamente cria regras no

mangle. Assegurando que os pacotes ip não superem o valor máximo
permitido no túnel.

2 - Tuneis e VPN 21
 Opção Change MSSS
• Valores:
–Yes: Ajusta o valor do MSS
–No: Não ajusta o valor do MSS
–Default: Utiliza o valor padrão do perfil da interface,
se não configurado, será o default
• A melhor opção é yes

2 - Tuneis e VPN 22
 Perfis PPP / Secrets
• Os perfis, assim como os a base de dados dos usuários
(secrets) são comuns a todos os serviços ppp, como
por exemplo, pppoe, l2tp, pptp, porém é importante
ressaltar que:
- Não é possível utilizar os perfis ou a base de dados de
usuários (secrets) de outro roteador para autenticar
seus usuários locais.
- A opção Caller-id pode ser preenchida de acordo com o
túnel que vai chamar, por exemplo, se for um túnel
pppoe, o caller-id esperado será um mac-address, se
for um túnel l2tp ou pptp, o caller id será o ip do
cliente que pode se conectar ao seu servidor.

2 - Tuneis e VPN 23
Mais sobre perfis
• Incoming/Outgoing Filter: Nome do canal do
firewall para pacotes que estejam entrando/saindo.

• Address List: Lista de endereços IP para associar ao

perfil, essa lista está presente no /ip firewall address-list,
e serão criadas dinâmicamente. Pode ser usada para
filtros, regras de mangle dentre outras funcionalidades.

• DNS Server : Configuração dos servidores DNS a

atribuir aos clientes.

• WINNS Server : Configuração dos servidores DNS

microsoft para atribuir aos clientes

• Use Compression/Encryption/Change TCP MSS:

caso estejam em default, vão associar ao valor que
está configurado no perfil default-profile.

2 - Tuneis e VPN 24
Mais sobre perfis
• Session Timeout: Duração máxima de uma sessão, ou
seja assim que o usário se conectar ele será
desconectado, tendo atividade ou não após esse
período.

• Idle Timeout: Período de ociosidade na transmissão

de uma sessão. Se não houver tráfego IP dentro do
período configurado, a sessão é terminada.

• Rate Limit: Limitação da velocidade, pode ser no

formato rx-rate/tx-rate, ou seja upload/download.
Caso deseje uilizar burst pode ser usado na forma rx-
rate/tx-rate rx-burst-rate/tx-burstrate rx-burst-
threshould/tx-burst-threshould
burst-time priority rx-rate-min/tx-rate-min.

• Only One: Permite apenas uma sessão para o mesmo

usuário.

2 - Tuneis e VPN 25
Mais sobre Perfis
• Introduzido na versão 5 a
possibilidade do uso de IPv6 e
MPLS em túneis PPP
• Foi introduzido na versão 6 a
opção de queue que permite
definir o parentesco e o tipo
da fila além da posição da
criação padrão das novas filas

2 - Tuneis e VPN 26
 BCP
• RouterOS tem suporte BCP para todos os
túneis PPP.
• BCP permite colocar em bridge pacotes
ethernet a través de enlaces PPP
• BCP é uma parte independiente do túnel
PPP, por outro tanto, não tem relacão con a
direção do tráfego IP da interface do túnel
• Os procesos de bridging y routing podem
ocorrer ao mesmo tiempo, de manera
independiente

2 - Tuneis e VPN 27
 Configurando um BCP
• Habilitar o bcp é meuit simpels: Criar uma
bridge, ir em ppp profiles e definir a bridge.

2 - Tuneis e VPN 28
Mais sobre o Secret
• Service: Especifica o serviço disponível para este cliente
em particular.

• Caller ID: IP, MAC, etc “de quem está chamando”

• Local/Remote Address: Endereço IP Local (servidor) e

remote(cliente) que poderão ser atribuídos a um cliente
em particular.

• Limits Bytes IN/Out: Quantidade em bytes que o cliente

pode trafegar por sessão.

• Routes: Rotas que são criadas do lado do servidor para

esse cliente especifico. Várias rotas podem ser
adicionadas separadas por vírgula.
• As informações contidas em /ppp secrets tem maior
prioridade sobre /ppp profile

2 - Tuneis e VPN 29
 VPN
• Uma Rede Privada Virtual é uma rede de
comunicações privada normalmente
utilizada por uma empresa ou conjunto de
empresas e/ou instituições, construídas em
cima de uma rede pública. O tráfego de
dados é levado pela rede pública utilizando
protocolos padrão, não necessariamente
seguros.

• VPNs seguras usam protocolos de criptografia por tunelamento que

fornecem confidencialidade, autenticação e integridade necessárias
para garantir a privacidade das comunicações requeridas. Quando
adequadamente implementados, estes protocolos podem assegurar
comunicações seguras através de redes inseguras.

2 - Tuneis e VPN 30
 VPN
• As principais características da VPN são:
– Promover acesso seguro sobre meios físicos públicos
como a internet por exemplo.
– Promover acesso seguro sobre linhas dedicadas,
wireless, etc...
– Promover acesso seguro a serviços em ambiente
corporativo de correio, impressoras, etc...
– Fazer com que o usuário, na prática, se torne parte da
rede corporativa remota recebendo IPs desta e perfis de
segurança definidos.
– A base da formação das VPNs é o tunelamento entre dois
pontos, porém tunelamento não é sinônimo de VPN.

2 - Tuneis e VPN 31
Site-to-site

2 - Tuneis e VPN 32
Conexão remota

2 - Tuneis e VPN 33
 PPTP
• PPTP – Point-to-Point Tunneling Protocol: Protocolo de
tunelamento ponto a ponto é um protocolo de
tunelamento seguro para transportar tráfego IP utilizando
PPP.
• O PPTP Utiliza a porta TCP 1723 e o protocolo 47/GRE
(Generic Routing Encapsulation)
• O RouterOS suporta tanto servidor quanto cliente e ambos
podem funcionar simultaneamente no mesmo roteador.
• Este túnel é especialmente útil porque tem clientes nativos
em praticamente todos os sistemas opearacionais.
• Para utilizar esse túnel através de redes com nat é
obrigatório o uso de “nat helpers”, no mikrotik, os nat
helpers estão em /ip firewall services

2 - Tuneis e VPN 34
 L2TP
• L2TP – Layer2 Tunelling Protocol: Protocolo de
tunelamento de camada 2 tem praticamente a
mesma funcionalidade que o túnel pptp
• O L2TP Utiliza a porta UDP 1701 para estabelecer
o enlace e para enviar o tráfego utilizando
qualquer porta UDP disponível.
• Assim como no PPPTP O RouterOS suporta tanto
servidor quanto cliente e ambos podem
funcionar simultaneamente no mesmo roteador.
• O L2TP não tem problemas de atravessar redes
“nateadas”
2 - Tuneis e VPN 35
 Configuração do Servidor PPTP e L2TP

• Configure um pool, um perfil para o PPTP, adicione um usuário em “secrets”

e habilite o servidor PPTP conforme as figuras.
2 - Tuneis e VPN 36
 Configuração do Servidor PPTP e L2TP
• Configure os servidores
PPTP e L2TP.
• Atente para utilizar o
perfil correto.
• Configure nos hosts
locais um cliente PPTP e
realize conexão com um
servidor da outra rede.

Ex.: Hosts do Setor1

conectam em servidores do
Setor2 e vice-versa.

2 - Tuneis e VPN 37
Configuração do Servidor PPTP e L2TP

• As configurações para o cliente PPTP e L2TP são

bem simples, conforme observamos nas imagens.
2 - Tuneis e VPN 38
 VPN IPSEC
• Proporciona uma estrutura completa segura para vpns
que atravessem a ainternet
• É normalmente utilizado para interligação de diversas
empresas, órgãos públicos sistemas de cartões de
crédito.
• Assegura a confidencialidade, quer dizer, somente as
“pessoas” autorizadas podem ver os dados sensíveis.
Adota métodos de encriptação e controle de acesso
para isto.
• Também conta com um mecanismo de revisão de
integridade dos dados que garante que não tenham
sido modificados por alguém não autorizado.

2- Túneis e VPN 39
 IPSec
• Internet Procotol Security é um conjunto de protocolos
definido pela IETF para garantir a troca segura de
pacotes IP/IPv6 através de redes não seguras
(Internet). É opcional no IPV4 e mandatório no IPV6.
• IPSec se pode dividir nos siguintes grupos:
• –Autentication Header (AH) - RFC 4302 para
integridade e autenticação
• –Encapsulating Security Payload (ESP) - RFC 4303 para
confidencialidade
• –Internet Key Exchange (IKE) – É utilizado para a
criação e distribuição dinâmica de chaves de
criptografia para AH y ESP.

2- Túneis e VPN 40
 Túnel IPSec Site-to-Site

Dois routers remotos estão conectados a internet e as redes locais dos escritórios estão
“NATeadas”. Cada escritório tem sua própria subnet, 10.1.202.0/24 para o Office1
E 10.1.101.0/24 for Office2 Ambos escritórios remotos tem um túnel seguro para as redes
Locais entre os routers.
2- Túneis e VPN 41
 Authentication Header (AH)
• AH é um protocolo que proporciona a
autenticação de todo ou parte do conteúdo de
um datagrama através da adição de um
cabeçalho que se calcula sobre a base dos valores
em seu datagrama.
• A presença do cabeçalho AH permite verificar a
integridade da mensagem, porém não encripta.
Portanto, AH proporciona autenticação porém
não a privacidade (Outro protocolo ESP se utiliza
para proporcionar criptografia).
• RouterOS suporta: SHA1 y MD5

2- Túneis e VPN 42
 Encapsulating Security Payload (ESP)
• ESP usa criptografia de chave compartilhada para
proporcionar privacidade de dados. ESP suporta seu
próprio esquema de autenticação usado no AH, ou pode
usar em conjunto com AH.
• Em vez de ter apenas um cabeçalho, divide seus campos
em três componentes:
- Cabeçalho ESP: Colocado antes dos dados criptografados e
sua colocação depende se o ESP é usado em modo de
transporte ou modo túnel.
- Trailer ESP: Colocado após os dados criptografados e é
usado para sincronizar os dados criptografados.
- ESP Autentication Data - Contém os dados já encriptados.

2- Túneis e VPN 43
Algoritmos de Autenticação/Encriptação
• O RouterOS suporta os seguintes algorítimos de autenticação:
- SHA1
- MD5
• O RouterOS suporta os seguintes algorítimos de encriptação:
–DES – 56 bits DES-CBC;
–3DES – 168 bits DES;
–AES – 128, 192 e 256 bits;
–Blowfish;
–Twofish;
–Camelia – 128, 192 e 256 bits.

2- Túneis e VPN 44
 Internet Key Exchange Protocol
• IKE é um protocolo que fornece material de chave
de autenticação para o quadro de ISAKMP (Internet
Security Association and Key Management
Protocol)
• Existem outros esquemas de troca de chaves que
trabalham com ISAKMP, mas IKE é o mais utilizado.
• Juntos, eles fornecem meios para autenticação dos
hosts e gerenciamento automático de associações
de segurança (SA).
2- Túneis e VPN 45
 Internet Key Exchange Protocol
Os peers estabelecem conexão e executam duas fases:
• Fase 1: Os pares devem concordar com os algoritmos
utilizados em mensagens IKE e autenticar. Material de chave
usada para derivar chaves para todos os SAs e proteger
seguinte trocas ISAKMP entre hosts é gerado:
Nesta fase tem que combinar os seguintes itens:
- authentication method
- DH group
- encryption algorithm
- exchange mode
- hash alorithm
- NAT-T
- DPD and lifetime (optional)

2- Túneis e VPN 46
 Internet Key Exchange Protocol
• Fase 2: Os pares estabelecem uma ou mais SAs que serão
usados pelo IPsec para criptografar dados. Todos os SAs
estabelecidas pelo IKE daemon terão valores de vida (ou
de limitação de tempo, após o qual SA se tornará
inválida, ou quantidade de dados que podem ser
criptografados por este SA, ou ambos).

Nesta fase tem que combinar os seguintes itens:

- Ipsec protocol
- mode (tunnel or transport)
- authentication method
- PFS (DH) group
- lifetime
2- Túneis e VPN 47
Internet Key Exchange Protocol

2- Túneis e VPN 48
 Diffie-Hellman Groups
DH é um protocolo de troca de chaves, que cria uma
conexão segura entre duas partes sem uma chave
previamente compartilhada.
• Grupos DH suportados:
– Group 1: 768 bit MODP
– Group 2: 1024 bits MODP
– Group 3: EC2N group on GP(2^155)
– Group 4: EC2N group on GP(2^185)
– Group 5: 1536 bits MODP

2- Túneis e VPN 49
 Configuração inicial
Para forçar que o o IPSec funcione automaticamente
utilizando o IKE-ISAKMP se deve configurar:
– Policy
– Peer
– Proposal

Importante: IPSec é muito sensível às mudanças de horario.

Se ambos os lados do túnel IPsec não estiverem com
sincronização de tempo inigualável, o túnel deve ser
estabelecida novamente. Para tal deve-se utilizar NTP.

2- Túneis e VPN 50
 Configuração inicial
Para forçar que o o IPSec funcione automaticamente
utilizando o IKE-ISAKMP se deve configurar:
– Policy
– Peer
– Proposal

Importante: IPSec é muito sensível às mudanças de horario.

Se ambos os lados do túnel IPsec não estiverem com
sincronização de tempo inigualável, o túnel deve ser
estabelecida novamente. Para tal deve-se utilizar NTP.

2- Túneis e VPN 51
 Configuração dos Peers
Primeiro definimos o direcionamento dos pares e as chaves PSK:

– Router 1:

/ip ipsec peer

add address=10.1.1.12/32 port=500 auth-method=pre-shared-key
secret=“ipseclab”

– Router 2:

/ip ipsec peer

add address=10.1.1.11/32 port=500 auth-method=pre-shared-key
secret=“ipseclab”

2- Túneis e VPN 52
 Configuração do Proposal
É muito importante que a autenticação e o algorítmo de
encriptação proposto seja o mesmo em ambos os lados

/ip ipsec proposal

add name=“ipseclab” auth-algorithms=sha1 enc-algorithms=3des
lifetime=30m pfs-group=modp1024

2- Túneis e VPN 53
 Configuração das Polices
Neste exemplo, queremos encriptar o tráfego proviniente da rede
10.1.1.0/24 para a rede 10.1.2.0/24 e vice-versa:

–Router 1:
/ip ipsec policy
add src-address=10.1.1.0/24 src-port=any dst-address=10.1.2.0/24 dst-
port=any sa-src-address=10.1.1.11 sa-dst-address=10.1.1.12
tunnel=yes action=encrypt proposal=ipseclab

–Router 2:
/ip ipsec policy
add src-address=10.1.2.0/24 src-port=any dst-address=10.1.1.0/24 dst-
port=any sa-src-address=10.1.1.12 sa-dst-address=10.1.1.11
tunnel=yes action=encrypt proposal=ipseclab

2- Túneis e VPN 54
 NAT Bypass
Neste ponto, se você tentar estabelecer um túnel IPSec, não vai
funcionar, todos os pacotes serão recusados.
• Isto é devido a ambos os roteadores terem regras de NAT
configuradas que alteram o endereço de origem dos pacotes
depois que os pacotes foram criptografados.
• O roteador remoto receberá os pacotes criptografados, mas não
será capaz de descencripta-los porque o endereço de origem
não é o mesmo que foi estabelecido na política.

2- Túneis e VPN 55
 Configuração do NAT Bypass
Para resolver esse problema, se deve criar uma regra de Nat Bypass

– Router 1:
/ip firewall nat
add chain=srcnat src-address=10.1.1.0/24 dst-address=10.1.2.0/24
action=accept disabled=no place-before=0

– Router 2:

/ip firewall nat

add chain=srcnat src-address=10.1.2.0/24 dst-address=10.1.1.0/24
action=accept disabled=no place-before=0

2- Túneis e VPN 56
 Laboratório de IPSec
Restaurar o backup inicial, se necessário

Formar grupos de 2 pessoas

Criar uma VPN IPSec entre suas redes locais baseado nos exemplos
dos slides anteriores.

2- Túneis e VPN 57
 L2TP com IPSec
O IPSec precisa de conectividade fim-a-fim verdadeira, ou seja é
necessário que os dois equipamentos consiguam se enxergar,
em resumo não funcionará em redes com nat, por padrão.

Uma forma de resolver esse problema é fechar um túnel l2tp que

proverá conectividade fim-a-fim verdadeira.

2- Túneis e VPN 58
Perguntas ?

2 - Tuneis e VPN 59
 Controle de acesso de usuários
É possível implementar o controle de acesso por
basicamente dois meios
• Hardware:
– Utilizando Entradas estáticas IP/MAC (ARP)
– Enviando endereços IP através de um Servidor DHCP e
administrando através de entradas estáticas ARP.
• Usuarios:
– PPPoE requer a configuração do cliente PPPoE
– Hotspot redireciona solicitações de clientes para a página
de Login.
• –PPTP requer configuração de clientes PPTP

3 – Gerencia de usuários 60
 PPPoE – Cliente e Servidor
• PPPoE é uma adaptação do PPP para funcionar em redes ethernet. Pelo fato
da rede ethernet não ser ponto a ponto, o cabeçalho PPPoE inclui
informações sobre o remetente e o destinatário, desperdiçando mais banda.
Cerca de 2% a mais.

• Muito usado por grandes operadoras para autenticação de clientes com

base em Login e Senha. O PPPoE estabelece sessão e realiza autenticação
com o provedor de acesso a internet.

• O cliente não tem IP configurado, o qual é atribuído pelo Servidor

PPPoE(concentrador) normalmente operando em conjunto com um servidor
Radius. No Mikrotik não é obrigatório o uso de Radius pois o mesmo
permite criação e gerenciamento de usuários e senhas em uma tabela local.

• PPPoE por padrão não é criptografado. O método MPPE pode ser usado
desde que o cliente suporte este método.

3 – Gerencia de usuários 61
 PPPoE – Estrutura do PPPOE
• A estrutura do trama Tipos de pacotes disponíveis

3 – Gerencia de usuários 62
 PPPoE – Cliente e Servidor
• O cliente descobre o servidor
através do protocolo pppoe
discovery que tem o nome do
serviço a ser utilizado.
• Precisa estar no mesmo
barramento físico ou os
dispositivos passarem pra
frente as requisições PPPoE
usando pppoe relay.

• No Mikrotik o valor padrão do Keepalive Timeout é 10, e funcionará

bem na maioria dos casos. Se configurarmos pra zero, o servidor
não desconectará os
clientes até que os mesmos solicitem ou o servidor for reiniciado.

3 – Gerencia de usuários 63
 Configuração do Servidor PPPoE

3. Adicione um usuário e senha

/ppp secret add name=usuario password=123456

service=pppoe profile=perfil-pppoe

Obs.: Caso queira verificar o MAC-Address,

adicione em Caller ID. Esta opção não é
obrigatória, mas é um parametro a mais para
segurança.

3 – Gerencia de usuários 64
 Configuração do Servidor PPPoE

3. Adicione um usuário e senha

/ppp secret add name=usuario password=123456

service=pppoe profile=perfil-pppoe

Obs.: Caso queira verificar o MAC-Address,

adicione em Caller ID. Esta opção não é
obrigatória, mas é um parametro a mais para
segurança.

3 – Gerencia de usuários 65
 Configuração do Servidor PPPoE
1. Primeiro crie um pool de IPs para o PPPoE.

/ip pool add name=pool-pppoe

ranges=172.16.0.2-172.16.0.254

2. Adicione um perfil para o PPPoE onde:

Local Address = Endereço IP do concentrado.
Remote Address = Pool do pppoe.

/ppp profile local-address=172.16.0.1

name=perfilpppoe remote-address=pool-pppoe

3 – Gerencia de usuários 66
 Configuração do Servidor PPPoE
4. Adicione o Servidor PPoE
Service Name = Nome que os clientes vão
procurar (pppoe-discovery).
Interface = Interface onde o servidor pppoe vai
escutar.

/interface pppoe-server server add

authentication=chap, mschap1, mschap2
default-profile=perfil-pppoe disabled=no
interface=wlan1 keepalive-timeout=10 maxmru=
1480 max-mtu=1480 max-sessions=50
mrru=512 one-session-per-host=yes servicename="
Servidor PPPoE"

3 – Gerencia de usuários 67
 Mais sobre o PPoE Server
O concentrador PPPoE do Mikrotik suporta múltiplos servidores
para cada interface com diferentes nomes de serviço. Além do
nome do serviço, o nome do concentrador de acesso pode ser
usado pelos clientes para identificar o acesso em que se deve
registrar. O nome do concentrador é a identidade do roteador.
O valor de MTU/MRU inicialmente recomendado para o PPPoE
é 1480 bytes. Em uma rede sem fio, o servidor PPPoE pode ser
configurado no AP. Para clientes Mikrotik, a interface de rádio
pode ser configurada com a MTU em 1600 bytes e a MTU da
interface PPPoE em 1500 bytes.

Isto otimiza a transmissão de pacotes e evita problemas associados a MTU menor que
1500 bytes. Até o momento não possuímos nenhuma maneira de alterar a MTU da
interface sem fio de clientes MS Windows. A opção One Session Per Host permite
somente uma sessão por host(MAC Address). Por fim, Max Sessions define o número
máximo de sessões que o concentrador suportará.

3 – Gerencia de usuários 68
 Configurando o PPPoE Client

• AC Name: Nome do concentrador. Deixando em branco conecta

em qualquer um.
• Service: Nome do serviço designado no servidor PPPoE.
• Dial On Demand: Disca sempre que é gerado tráfego de saída.
• Add Default Route: Adiciona um rota padrão(default).
• User Peer DNS: Usa o DNS do servidor PPPoE.
3 – Gerencia de usuários 69
 Gerência de usuários
• HOTSPOT

1- Introdução 70
 HotSpot
Geralmente usado em área pública como hotéis,
aeroportos, shoppings, universidades, etc...

Acesso controlado a uma rede qualquer, com ou sem

fio,

Autenticação baseada em nome de usuário e senha.

Com HotSpot, um usuário que tente navegação pela

WEB é arremetido para uma página do HotSpot que
pede suas credencias, normalmente usuário e senha.

3 - Hotspot 71
 Estrutura do Hotspot
Servidor de hotspot (Servers) Um server por interface.

Defini como os usuário poderão logar.

Usar Radius ou não.
Perfis do hotspot (Server Profiles)
Definir o diretório que contém as páginas de
login.

Defini velocidade de cada perfil (planos).

Perfis de usuário (User Profile) Defini popups.
Defini scripts.

Defini usuário e senha

Usuários (Users) Defini a qual plano o usuário esta
associado.

3 - Hotspot 72
HotSpot

3 - Hotspot 73
 HotSpot
Apesar de ter sido bem simples a criação do
Hotspot o RouterOS criou algumas regras
necessárias para o funcionamento.

3 - Hotspot 74
 HotSpot – Detalhes do Servidor
Idle Timeout: Usado para detectar
clientes que estão logados e não
estão trafegando.

Keepalive Timeout: Usado para

detectar clientes que estão logados
porém não estão mais acessíveis.

Address Per MAC: Número de IPs

permitidos para um determinado
MAC.

3 - Hotspot 75
 HotSpot – Perfil do Servidor
HTML Directory: Diretório onde são
colocadas as páginas desse hotspot.

HTTP Proxy/Port: Endereço e porta do

servidor de web proxy.

SMTP Server: Endereço do servidor SMTP.

Rate Limit: Usado para criar uma fila simples

para todo o hotspot. Esta fila vai após as filas
dinâmicas dos usuários.

3 - Hotspot 76
 HotSpot – Perfil do Servidor
Login by:
– MAC: Usa o MAC dos clientes primeiro como nome do usuário. Se
existir na tabela de usuários local ou em um Radius, o cliente é
liberado sem usuário/senha.

– HTTP CHAP: Usa o método criptografado.

– HTTP PAP: Usa autenticação em texto plano.

– Cookie: Usa HTTP cookies para autenticar sem pedir credenciais. Se

o cliente não tiver mais o cookie ou se tiver expirado ele de usar
outro método.

– HTTPS: Usa túnel SSL criptográfado. Para que este método funcione,
um certificado válido deve ser importado para o roteador.

– Trial: Não requer autenticação por um determinado tempo.

– Split User Domain: Corta o domínio do usuário no caso de

usuario@hotspot.com

– HTTP Cookie Lifetime: Tempo de vida dos cookies.

– MAC Cookie: Nova funcionalidade usada para facilitar a

acessibilidade para smartphones.
3 - Hotspot 77
 Hotspot - Radius
Remote Authentication Dial In User Service (RADIUS) é um
protocolo de rede que provê de forma centralizada
autenticação, autorização e contabilização(Accounting em
inglês).
Autenticação Roteador de borda

Internet

Roteadores buscando
autenticação no Radius
Servidor Radius 172.31.31.2

3 - Hotspot 78
Hotspot - Configurando Radius

3 - Hotspot 79
 HotSpot – Perfil do Servidor
• Use Radius: Utiliza servidor Radius para
autenticação dos usuários do hotspot.

• Location ID e Location Name: Podem ser atribuídos

aqui e no Radius. Normalmente deixado em branco.

• Accounting: Usado para registrar o histórico de logins,

tráfego, desconexões, etc...

• Interim Update: Frequência do envio de informações

de accounting. 0 significa assim que ocorre o evento.

• Nas Port Type: Wireless, ethernet ou cabo.

Informação meramente para referência.

3 - Hotspot 80
 HotSpot – Perfil de Usuários
O User Profile serve para dar tratamento diferenciado a
grupos de usuários, como suporte, comercial, diretoria,
etc...
Session Timeout: Tempo máximo
permitido.
Idle Timeout/Keepalive: Mesma
explicação anterior, no entanto agora
somente para este perfil de usuários.
Status Autorefresh: Tempo de
refresh da página de Status do
HotSpot.
Shared Users: Número máximo de
clientes com o mesmo username.

3 - Hotspot 81
 HotSpot – Perfil de Usuários
Os perfis de usuário podem conter os limites de
velocidade de forma completa.
Rate Limit: [rx-limit/tx-limit] [rx-burst-limit/tx
burst-limit] [rxburstthreshold/tx-burst-threshold]
[rx-burst-time/tx-bursttime][priority]
[rx-limit-at/tx-limit-at]

Exemplo: 128k/256k 256k/512k 96k/192k 8 6 32k/64k

128k de upload / 256k de download

256k de upload burst / 512k de download burst
96k threshould de upload / 192k threshloud de
download
8 segundos de burst
6 de prioridade
32k de garantia de upload / 64k de garantia de
download

3 - Hotspot 82
 HotSpot – Perfil de Usuários
Incoming Filter: Nome do firewall chain aplicado aos
pacotes que chegam do usuário deste perfil.

Outgoing Filter: Nome do firewall chain aplicado aos

pacotes vão para o usuário deste perfil.

Incoming Packet Mark: Marca colocada

automaticamente em pacotes oriundos de usuários
deste perfil.

Outgoing Packet Mark: Marca colocada

automaticamente em pacotes que vão para usuários
deste perfil.

Open Status Page: Mostra a página de status.

- http-login: para usuários que logam pela WEB.
- always: para todos usuários inclusive por MAC.

Tranparent Proxy: Se deve usar proxy transparente.

3 - Hotspot 83
 HotSpot – Perfil de Usuários
Com a opção Advertise é possível enviar de
tempos em tempos “popups” para os usuários do
HotSpot.
Advertise URL: Lista de páginas que serão
anunciadas. A lista é cíclica, ou seja, quando a última é mostrada,
começa-se novamente pela primeira.
Advertise Interval: Intervalo de tempo de exibição de popups.
Depois da sequência terminada, usa sempre o intervalo.
Advertise Timeout: Quanto tempo deve esperar
para o anúncio ser mostrado, antes de bloquear o
acesso a rede.
- Pode ser configurado um tempo.
- Nunca bloquear.
- Bloquear imediatamente.

3 - Hotspot 84
 HotSpot – Perfil de Usuários
O Mikrotik possui uma linguagem interna de scripts que podem ser
adicionados para serem executados em alguma situação especifica.

No HotSpot é possível criar scripts que executem comandos a

medida que um usuário desse perfil conecta ou desconecta do
HotSpot.

Os parâmetros que controlam essa execução são:

– On Login: Quando o cliente conecta ao HotSpot.
– On Logout: Quando o cliente desconecta do
HotSpot.

Os scripts são adicionados no menu:

/system script

3 - Hotspot 85
HotSpot – Usuários

3 - Hotspot 86
 HotSpot – Usuários
Server: all para todos hotspots ou para um específico.
Name: Nome do usuário. Se o modo Trial estiver ativado
o hotspot colocará automaticamente o nome “TMAC_
Address”. No caso de autenticação por MAC, o mesmo
deve ser adicionado como username sem senha.
Address: Endereço IP caso queira vincular esse usuário
a um endereço fixo.
MAC Address: Caso queira vincular esse usuário a um
endereço MAC especifico.
Profile: Perfil onde o usuário herda as propriedades.
Routes: Rotas que serão adicionadas ao cliente quando
se conectar. Sintaxe: “Endereço destino gateway
métrica”. Várias rotas separadas por vírgula podem ser
adicionadas.

3 - Hotspot 87
 HotSpot – Usuários
Limit Uptime: Limite máximo de
tempo de conexão para o usuário.
Limit Bytes In: Limite máximo de
upload para o usuário.
Limit Bytes Out: Limite máximo de
download para o usuário.
Limit Bytes Total: Limite máximo
considerando o download + upload.
Na aba das estatísticas é possível
acompanhar a utilização desses
limites.

3 - Hotspot 88
 HotSpot – Active
Mostra dados gerais e estatísticas de cada usuário conectado.

3 - Hotspot 89
 HotSpot – Liberações especiais
Para liberar acesso a internet para um
determinado host utilize sem necessidade de
autenticação IP Binding.

Para liberar acesso a um determinado site sem

necessidade de autenticação utilize Walled
Garden.

Para liberar acesso a um determinado IP ou porta

sem necessidade de autenticação utilize o
Walled Garden IP List.

3 - Hotspot 90
 HotSpot – IP Bindings
O Mikrotik por default tem habilitado o “universal client” que
é uma facilidade que aceita qualquer IP que esteja
configurado no cliente fazendo com ele um NAT 1:1.

É possível também fazer traduções NAT estáticas com base no

IP original, ou IP da rede ou MAC do cliente. É possível
também permitir certos endereços “contornarem” a
autenticação do hotspot. Ou seja, sem ter que logar na rede
inicialmente.

Também é possível fazer bloqueio de endereços.

3 - Hotspot 91
 HotSpot – IP Bindings
MAC Address: mac original do cliente.
Address: Endereço IP do cliente.
To Address: Endereço IP o qual o original deve ser
traduzido.
Server: Servidor hotspot o qual a regra será aplicada.
Type: Tipo do Binding.
- Regular: faz tradução regular 1:1
- Bypassed: faz tradução mas
dispensa o cliente de logar no
hotspot.
- Blocked: a tradução não será feita e
todos os pacotes serão bloqueados.

3 - Hotspot 92
 HotSpot –Walled Garden
Configurando um “walled garden” é possível oferecer ao usuário o
acesso a determinados serviços sem necessidade de autenticação.
Por exemplo em um aeroporto poderia se disponibilizar
informações sobre o tempo ou até mesmo disponibilizar os sites
dos principais prestadores de serviço para que o cliente possa
escolher qual plano quer comprar.
Quando um usuário não logado no hotspot requisita um serviço do
walled garden o gateway não intercepta e, no caso do http,
redireciona a requisição para o destino ou um proxy.
Para implementar o walled garden para requisições http, existe um
web proxy embarcado no Mikrotik, de forma que todas requisições
de usuários não autorizados passem de fato por esse proxy.
Observar que o proxy embarcado no Mikrotik não tem a função de
cache, pelo menos por hora. Notar também que esse proxy faz
parte do pacote system e não requer o pacote web-proxy.

3 - Hotspot 93
 HotSpot –Walled Garden
É importante salientar que o
walled garden não se destina
somente a serviço WEB, mas
qualquer serviço que se queira
configurar. Para tanto existem 2
menus distintos conforme do
figuras ao lado. Sendo o menu
de cima para HTTP e HTTPS e o
de baixo para outros serviços e
protocolos.

3 - Hotspot 94
 HotSpot –Walled Garden
Action: Permite ou nega.
Server: Hotspot para o qual o walled garden
vale.
Src.Address: Endereço IP do usuário
requisitante.
Dst. Address: Endereço IP do web server.
Method: Método http ou https.
Dst. Host: Nome do domínio do servidor de
destino.
Dst. Port: Porta de destino do servidor.
Path: Caminho da requisição.
Obs.: Nos nomes dos domínios é necessário o nome completo, podendo ser usado
coringas. Também é possível utilizar expressões regulares devendo essas ser
iniciadas com (:)
3 - Hotspot 95
 HotSpot –Walled Garden
Action: Aceita, descarta ou rejeita o pacote.
Server: Hotspot para o qual o walled garden
vale.
Src. Address: Endereço IP do usuário
requisitante.
Dst. Address: Endereço IP do web server.
Protocol: Protocolo a ser escolhido na lista.
Dst. Port: Porta TCP ou UDP que será
requisitada.
Dst. Host: Nome do domínio do servidor de
destino.

3 - Hotspot 96
 HotSpot – Cookies
Quando configurado o login por cookies, estes
ficam armazenados no hotspot com nome do
usuário, MAC e tempo de validade.
Enquanto estiverem válidos o usuário não precisa
efetuar o procedimento de login e senha.
Podem ser deletados (-) forçando assim o usuário
a fazer o login novamente.

3 - Hotspot 97
 HotSpot – Ports
A facilidade NAT do hotspot causa problemas
com alguns protocolos incompatíveis com NAT.
Para que esses protocolos funcionem de forma
consistente, devem ser usados os módulos
“helpers”.

No caso do NAT 1:1 o único problema é com

relação ao módulo de FTP que deve ser
configurado para usar as portas 20 e 21.

3 - Hotspot 98
 Personalizando o HotSpot
As páginas do hotspot são completamente configuráveis e além disso é possível
criar conjuntos completamente diferentes das páginas do hotspot para vários
perfis de usuários especificando diferentes diretórios raiz.
As principais páginas que são mostradas aos usuários são:
– redirect.html – redireciona o usuário a uma página
especifica.
– login.html – página de login que pede usuário e senha ao
cliente.
Esta página tem os seguintes parâmetros:
• Username/password.
• Dst – URL original que o usuário requisitou antes do redirecionamento e que será aberta após a
autenticação do usuário.
• Popup – Será aberta uma janela popup quando o usuário se logar com sucesso.

– logout.html – página de logout

– radvert.html – página que gera o poupup quando vai “advertir” o usuário
– errors.txt – arquivo de texto que contém os erros que são exibidos ao usuário

3 - Hotspot 99
Login Oculto
•Não será requerido o usuário
e senha
•Útil para enviar avisos aos
usuários ou enviar alguma
informação de esclarecimento
antes de continuar usando o
serviço.
•Forma simples de colocar
compartilhamento de
usuários.

3 - Hotspot 100
 Login Oculto
•Baixar o arquivo login.html de seu roteador
•Abrir o arquivo com algum editor de texto
•Modificar as seguintes linhas:

–– <input type=”text” value=”$(username)>

–– <td><input style="width: 80px"
name="username" type="hidden"
value=“usuarioXY"/></td>
–– <input type=”password”>
–– <td><input style="width: 80px"
name="password" type="hidden"
value=“senha"/></td>
3 - Hotspot 101
 HotSpot com HTTPS
Para utilizar o hotspot com HTTPS é
necessário que se crie um certificado, assiná-
lo corretamente e em seguida importá-lo
através do menu /system certificates.

3 - Hotspot 102