Palestra - intranet.ifs.ifsuldeminas.edu.br... Para acessar, basta digitar admin e senha em branco....
Transcript of Palestra - intranet.ifs.ifsuldeminas.edu.br... Para acessar, basta digitar admin e senha em branco....
Palestra:
Mikrotik: Histórico, Características,
Instalação e Configurações Básicas
Apresentação:
Prof. Vinícius Ferreira de Souza
Referencial Teórico:
Minicurso ministrado pelo prof. José Ferreira Neto
Currículo: http://lattes.cnpq.br/2399116495344293
Mikrotik Brasil. Apostila Oficial do Curso, Belo
Horizonte/MG, 2007.
1
O que é o Mikrotik?
Mikrotik é uma empresa que fabrica equipamentos
para redes de computadores, principalmente
equipamentos wireless, da Latvia (Letônia). O
Mikrotik RouterOS é um sistema operacional de
roteamento, e é principal produto da empresa
Mikrotik.
O Mikrotik RouterOS é um sistema operacional
baseado em Linux que permite que qualquer
plataforma x86 ou x64 se transforme em um
poderoso roteador dotado de diversas funções, tais
como: VPN, Proxy, Hotspot, Controle de Banda, QoS,
Firewall, entre outras, que variam de acordo com a
licença adquirida do sistema.
2
Com o sistema operacional Mikrotik RouterOS é
possível criar uma rede segura, com um firewall
eficiente e concatenação de links (juntar vários links
num só equipamento). O sistema conta também com
suporte para protocolos de roteamento, como BGP,
RIP, OSPF, MPLS, entre outros, também de acordo
com a licença obtida.
O que muda nos níveis de licença são as limitações
de algumas funções, mas todas as licenças permitem
funções suficientes para administrar um provedor de
Internet tradicional.
Usado em aeroportos, hotéis, provedores de Internet
wireless, grandes empresas como máquina firewall,
balanceamento de carga, etc.
3
Pode ser acessado diretamente ou remotamente, com
o uso de ferramentas, como: Winbox (GUI), Console
(CLI), WEB (remoto) e Dude.
Funções/modos de operações principais:
• Roteador dedicado;
• Bridge com filtros em layer 2;
• Firewall com layer 7 e diversos filtros;
• Controle de velocidade, garantia de banda, burst,
hierarquia e disciplinas de filas;
• Ponto de Acesso Wireless em modo 802.11,
proprietário e cliente wireless;
• WDS, NSTREME, NSTREME Dual;
4
• Concentrador PPPoE, PPtP, IPSec, L2TP, etc;
• Roteador de borda;
• Hotspot e gerenciador de usuários;
• WEB Proxy (cache de páginas e arquivos);
• Recursos de Bonding, VRRP, etc;
• Virtualização com Xen e MetaRouter;
• Linguagem avançada de scripts;
• Roteamento com OSPF, MPLS, BGP, etc;
• Ferramentas: watchdog, bandwidth test, torch.
5
Sites de referência ou onde obter suporte:
Inglês
Mikrotik - Página oficial
RouterBoard - Página oficial
Encontros MUM - Página oficial
Treinamentos Oficiais - Página oficial
Português
Manual Passo a Passo em Português
CATVBRASIL
Belluno Tecnologia
Comunidade Under-Linux
Site oficial da Mikrotik Manaus
Especialista em Mikrotik
Lista de placas-mãe e placas de rede compatíveis:
http://wiki.mikrotik.com/wiki/Supported_Hardware
6
Objetivo:
Rotear uma conexão originada da rede interna
e direcioná-la para uma placa de rede
secundária, configurar o DHCP e criar uma
regra de firewall para o bloqueio de uma página
na Internet pelo endereço IP.
7
O que precisamos para configurar o
servidor Mikrotik:
• Placa-mãe de boa qualidade/marca;
• Duas placas de rede compatíveis com o
sistema;
• HD;
• Sinal de rede (link);
• Conhecimentos de rede (protocolo TCP/IP,
mascaramento, entre outros);
• Planejamento (todo projeto deve ser
planejado).
8
Passos iniciais:
• Gravar imagem do sistema em CD;
• Configurar o computador para dar o boot pelo
driver de CD/DVD;
• Marcar os pacotes que deseja instalar;
• Instalar;
• Registrar a licença de uso do sistema.
Obs.: A versão que usaremos será a 5.21,
licença free 24 horas.
9
Instalação:
Após os passos descritos anteriormente, a tela inicial
do sistema será esta:
Pressione a letra “A” e depois “I”, para selecionar e
instalar os pacotes do sistema.
10
Instalação:
Após a instalação, o sistema será aberto como na
imagem abaixo:
Para acessar, basta digitar admin e senha em
branco.
11
Configuração inicial:
Vamos fazer toda a configuração visualmente,
usando um aplicativo chamado Winbox.
Plugue um cabo de rede em uma das placas de
rede instalada na máquina, usando um cabo
padrão 568A ou 568B (mesmo com conexão
nula/limitada você tem acesso, pois o Mikrotik
possibilita o acesso via endereço MAC), ou
coloque o servidor na mesma rede (via
HUB/Switch/AP) e acesse via terminal.
12
Configuração inicial:
Acessando via Winbox:
Acesse usando o endereço MAC. Clique no
botão [...] e o servidor deve aparecer na lista, se
ele estiver na mesma rede.
13
Tela inicial do Mikrotik via Winbox:
Acesse usando o MAC.
14
Configuração inicial:
O primeiro passo é verificar quais placas (interfaces)
o Mikrotik reconheceu. Clique em Interfaces.
15
Configuração inicial:
No exemplo, o Mikrotik reconheceu duas placas
de rede, uma chamada eth0 (cabeada) e outra
wlan1, wireless (sem fio).
Dê dois cliques sobre a placa (identificar,
exemplo: Entrada ou Link). Vamos usar LINK.
Repita o processo para a Wlan1, coloque como
CLIENTES.
No exemplo, estamos recebendo o sinal da
internet via cabo (eth1) e vamos distribuir via
wireless (wlan1).
16
O que precisamos conhecer:
• Gateway da rede;
• Endereço dos servidores DNS.
Passo a passo:
• Configurar IP de entrada (placa que recebe a
rede/internet);
• Configurar IP de saída (placa que vai enviar para a
rede/clientes);
• Definir o Gateway de saída;
• Definir os endereços de DNS;
• Habilitar o NAT (Network Address Translation);
• Pronto, o servidor Mikrotik já estará funcionando.
17
Primeiro passo: Configurar o IP de entrada
(placa que recebe a Internet).
Conecte a placa de rede LINK à Internet;
A configuração da placa de entrada (eth0) será na
mesma classe que o Gateway, ou seja, 192.168.13.x
(o "x" pode ser qualquer número de 2 à 63 que não
esteja sendo utilizando por outro host na rede local,
já que o .1 está ocupado pelo Gateway).
Vamos configurar então a eth0 (LINK) com o IP
192.168.13.50/26 (rede interna lab. 02).
Clique em IP e em Addresses (imagem a seguir).
18
19
20
Address: IP do Mikrotik/Máscara
Network e Broadcast.
Interface: Placa de rede que recebe o sinal de Internet.
Clique no “+”
21
Na tela do Winbox, clique em IP/Addresses e
depois no sinal de mais (+) em vermelho e, em
Address, digite o IP que será o do Mikrotik.
Em interface, escolha a placa de entrada, que
será a eth0, e clique em Apply (aplicar). Os
campos Network e Broadcast serão
automaticamente preenchidos com base na faixa
de IP que você informou.
22
Vamos agora configurar a rota (clique em IP/Routes):
23
Informe o IP do Gateway no campo Gateway, e se for
o IP correto, automaticamente o campo Interface
definirá a placa que tem acesso à Internet.
Em
Gate
way,
colo
qu
eo
IPd
ogate
way
e,
au
tom
ati
cam
en
te,
ap
laca
de
red
e
(LIN
K)
deverá
ser
ass
oci
ad
a.
24
O próximo passo, será configurar o DNS. Clique em
IP/DNS, e depois em SETTINGS.
Info
rme
oD
NS
da
red
equ
e
forn
ece
oli
nk
de
Inte
rnet.
25
O passo seguinte será configurar o NAT. Clique em
IP/FIREWALL.
Em
CH
AIN
,esc
olh
aS
RC
NA
T.
Em
OU
TIN
TE
RF
AC
E,
esc
olh
aa
pla
cad
ere
de
LIN
K.
26
A seguir, na mesma janela, clique na guia ACTION e
defina a ação como MASQUERADE.
.
Cli
qu
en
aa
ba
AC
TIO
Ne,
em
AC
TIO
N,
esc
olh
aM
AS
QU
ER
AD
E.
27
Acabamos de criar uma regra no IPTables, que
determina que todos os endereços da rede interna
serão traduzidos para um único IP, que no caso é o do
LINK.
Feito isso, o servidor Mikrotik já estará com acesso à
Internet. Clique em TOOLS/PING, e em PING TO:
digite o IP ou o endereço de algum site (no exemplo,
usamos o www.google.com.br), e veja o retorno.
ping www.google.com.br
28
Próximo passo: configurar a interface de saída, ou
seja, a interface que distribuirá a rede para os
clientes.
.
Em
AD
DR
ES
S,
dig
ite
oIP
/Másc
ara
da
red
ed
esa
ída
,ex:
19
2.1
68.0
.1/2
4e
sele
cion
eC
LIE
NT
ES
em
INT
ER
FA
CE
.
Dep
ois
,cl
iqu
eem
AP
PL
Y.
NETWORK e BROADCAST
serão preenchidos
automaticamente
29
Podemos configurar a interface LINK (eth0) para
obter um endereço IP de um servidor DHCP. Para
isso, clique em IP/DHCP CLIENT.
.
Em
INT
ER
FA
CE
,se
leci
on
ea
pla
ca
LIN
K,
caso
ha
jau
mse
rvid
or
DH
CP
dis
pon
ível
pelo
pro
ved
or
do
lin
kd
e
Inte
rnet.
30
Desmarque a opção Use Peer DNS, pois será utilizado
o DNS configurado anteriormente e esse DNS
configurado é o que vem do servidor DHCP.
Deixe marcado: Use Peer NTP, pois é o Gerenciador
de Data, padrão do provedor.
Deixe marcado também Add Default Routes para que
seja adicionada a rota padrão.
Verifique em IP/ROUTES se a rota foi adicionada.
A 1
º li
nh
a s
em
pre
é a
últ
ima q
ue f
oi
ad
icio
nad
a.
31
Após a configuração realizada, o gateway será
automaticamente adicionado como DNS primário.
Verifique em IP/DNS e em SETTINGS.
32
Para configurar o Servidor DHCP da rede interna,
que fornecerá os IP’s dos clientes, precisamos definir
qual será o IP inicial e final. Clique em IP/POOL.
Em NAME, coloque POOL, e em ADDRESS,
coloque: 192.168.0.2 - 192.168.0.100, ou seja,
as máquinas dos clientes receberão IP’s a
partir do .2 até o .100.
33
Em ADDRESS, digite o IP inicial – final, por
exemplo: 192.168.0.2 - 192.168.0.100, que vai após o
Gateway do Mikrotik, até onde você desejar.
Deve-se excluir da faixa de IP’s oferecidos pelo
servidor DHCP os IP’s que já estejam sendo
utilizados na rede interna ou previamente reservados
(o IP 192.168.0.1 foi excluído do POOL, pois é o IP do
Mikrotik).
Agora, podemos criar o DHCP SERVER.
Para isso, clique em IP/DHCP SERVER e depois, no
sinal de “+” ou use o botão CONFIG, que descreve o
processo passo a passo.
34
NAME: nome para o servidor DHCP. Em Interface,
selecione CLIENTES (destino para o range DHCP).
LEASE TIME é o tempo em que o DHCP será renovado
e o padrão é 3d 00:00:00 ou 3 dias. O ideal é (0d
12:00:00) ou 12 horas. Marque a opção Add ARP For
Leases. Em ADDRESS POOL, marque o POOL criado.
35
Falta definir a rede (NETWORK), o novo Gateway,
entre outras configurações. Configure conforme
abaixo:
ADDRESS: endereço de rede, que foi gerado
automaticamente quando foi configurado o IP da placa
de rede. A NETMASK é a mesma, /24. DNS Servers
será o IP do Mikrotik (neste exemplo), pois é esse
endereço que será o gateway dos clientes.
36
O próximo passo é impedir que um cliente “clone” o IP
de outro cliente ou que alguém “capture” o seu sinal
de Internet. Para isso, vamos “atrelar” o IP ao MAC.
Com os dados de MAC e IP do cliente (você pode
também obter esses dados, se os clientes já estiverem
conectados, em WIRELESS), clique na aba
REGISTRATION.
37
IP A
DD
RE
SS
: IP
do c
lien
te.
MA
C A
DD
RE
SS
: M
AC
da
pla
ca d
e r
ed
e.
38
Obter os endereços MAC e IP do cliente.
De posse das informações, basta cadastrar.
39
Em INTERFACE, dê dois cliques na interface LINK
e altere ARP para reply-only (somente repetir).
40
Clique em QUEUES e em “+” e entre com as
informações, como no exemplo abaixo:
NAME: nome do cliente.
TARGET ADDRESS: IP do cliente.
MAX LIMIT: limite de
conexão
(mínimo/máximo) kbits/s.
41
Bloqueio básico de sites pelo endereço IP
Primeiramente dê um PING no site que deseja
bloquear e verifique o host dele. Exemplo: Vamos
bloquear o Orkut.
Verifique que o terminal retornou o IP 74.125.36.4.
Como o Google tem vários servidores para garantir
que milhões de pessoas tenham acesso ao serviço, é
necessário configurar para o host: 74.125.36.0/24.
42
Para bloquear o site, vamos usar o WEB-PROXY.
Clique em IP/WEB-PROXY.
Marq
ue
EN
AB
LE
,d
efi
na
ap
ort
a3
12
8
ou
65
88
.A
sd
em
ais
con
figu
raçõ
es
alt
ere
com
od
ese
jar
ou
deix
ea
pad
rão.
43
Para que o WEB-PROXY funcione adequadamente, é
necessário criar uma regra em IP/FIREWALL/NAT.
Em
CH
AIN
,se
leci
on
eD
ST
NA
T.
Em
PR
OT
OC
OL
,se
leci
on
e6
(TC
P).
Em
IN.
INT
ER
FA
CE
,se
leci
on
eC
LIE
NT
ES
.
44
Na mesma janela, clique na aba ACTION. Em
ACTION, escolha REDIRECT (redirecionar) e, em TO
PORT, digite a porta do WEB-PROXY.
Ess
are
gra
faz
com
qu
eto
do
ace
sso
port
a8
0p
ass
ep
elo
pro
xy
pri
meir
o,
para
veri
fica
rse
osi
teest
áblo
qu
ead
o
ou
pod
ese
ra
cess
ad
o.
45
Em IP/WEB-PROXY/ACCESS, clique em “+”. Em
DST ADDRESS: digite o IP do site que deseja
bloquear e, em ACTION, selecione DENY.
Deve-s
eu
tili
zar
oh
ost
do
site
/serv
iço.
Caso
con
trári
o,
qu
an
do
ocl
ien
te
ace
ssar
em
ou
tro
serv
idor,
osi
ten
ão
será
blo
qu
ea
do.
46
Verifique o resultado:
Em SCR.
ADDRESS, você
pode colocar um IP
específico de um
cliente para
bloquear o site ou
serviço somente
desse IP.
47
Existem alguns softwares que complementam o
Mikrotik RouterOS. São usados em provedores de
Internet por meio de servidores radius, como o MK-
AUTH, que inclui as funções de emissão de boletos,
corte automático de clientes, central do assinante, etc.
RouterBOARD
RouterBoard é o nome de uma série de produtos
MikroTik que combinam o RouterOS com uma linha
de hardware próprio. É projetado para provedores de
pequeno e médio porte, oferecendo acesso banda larga
via rede sem fios.
48
São equipamentos de rádio ou roteadores compactos,
que tem a capacidade de montar links wireless com
alta capacidade de tráfego, inclusive utilizando duas
antenas e uma configuração especial chamada
Nstreme. Além disso, conta com inúmeras
ferramentas de análise e monitoramento.
49
FIM!!!