mtcume_ed2

March 24, 2018 | Author: RogerMota | Category: Virtual Private Network, Radius, Computer Architecture, Internet Standards, Digital Technology
Share
Report this link


Comments



Description

Treinamento oficial MikrotikModulo MTCUME (MikroTik Certified User Manager Engineer) Agenda Treinamento das 08:30hs às 18:30hs Coffe break as 16:00hs Almoço as 12:30hs – 1 hora de duração 1- Introdução 2 Importante  Curso oficial: Proibido ser filmado ou gravado.  Celular: Desligado ou em modo silencioso.  Perguntas: Sempre bem vindas.  Internet: Evite o uso inapropriado.  Aprendizado: Busque absorver conceitos.  Evite conversas paralelas.  Deixe habilitado somente a interface ethernet de seu computador. 1- Introdução 3 1. Com que trabalha.Introdução 4 .Apresente-se a turma Diga seu nome. Seu conhecimento com redes. O que espera desse treinamento. Seu conhecimento sobre o RouterOS. Introdução 5 . Fazer uma abordagem simples e objetiva de como planejar e implementar túneis criptografados com foco em segurança e prover controle de acesso com as ferramentas de gerência de usuários no RouterOS 1.Objetivos do curso Abordar todos os tópicos necessários para o exame de certificação MTCUME. Prover um visão geral sobre gerência de usuários e túneis.  No campo Login coloque “admin”. 1.  No campo Password deixe em branco.  Nos Menus a esquerda clique em “New Terminal”.  Com terminal aberto digite: /system reset-configuration no-defaults=yes Dica: Ao digitar comandos no terminal use a tecla [TAB] para auto completar.Introdução 6 .Primeiros passos:  Conecte o seu laptop na Ether3 de seu roteador  Abra o winbox clique em  Clique no endereço MAC ou IP.  Clique em connect. Introdução 7 .25.2  Lembre-se de seu número: GR 1.R.G.GR/24 G=1 R=1 G=2 R=1 G=1 R=2 G=2 R=2 IP ETHER3 10.G.1 IP para os computadores: 10.R.R.Diagrama da rede Internet IP para os roteadores WLAN1172.100.G.254 IP para os computadores: 10. Identificando seu roteador  Lembre-se de seu número: GR 1.Introdução 8 . Adicionando rota Default 1.Introdução 9 . Faça um backup com nome topoligia-1 e salve seu computador.Backup Apague todos os arquivos no menu files. system backup save name=topologia-1 1.Introdução 10 . Dúvidas e perguntas ? 1.Introdução 11 . podendo ser tanto servidor como cliente desses protocolos: – PPP (Point to Point Protocol) – PPPoE (Point to Point Protocol over Ethernet) – PPTP (Point to Point Tunneling Protocol) – L2TP (Layer 2 Tunneling Protocol) – SSTP (Secure Socket Tunneling Protocol) – OVPN (Open Virtual Private Network) – IPSec (IP Security) – Túneis IPIP – Túneis EoIP – Túneis VPLS – Túneis TE – Túneis GRE 2 .Tunelamento • • A definição de tunelamento é a capacidade de criar túneis entre dois hosts por onde trafegam dados.Tuneis e VPN 12 . O Mikrotik implementa diversos tipos de tunelamento. Túneis EoIP 2 .Tuneis e VPN 13 . • A única exigência do túnel EoIP é que é necessário ter conectividade fim-a-fim entre os dois sites. Endereços IP e outros túneis podem ser configurados na interface EoIP. 2 . no eoip é necessário especificar o lado remoto. • O protocolo EoIP possibilita: . • EoIP(Ethernet over IP) é um protocolo proprietário Mikrotik para encapsulamento de todo tipo de tráfego sobre o protocolo IP. todo o tráfego é passado de uma lado para o outro de forma transparente mesmo passando pela internet.Interligação em bridge de LANs remotas através da internet.Interligação em bridge de LANs através de túneis criptografados.Túneis EoIP • O Túnel EoIP (IP Protocol 47/GRE) é um túnel de camada 2 (ISO/OSI L2) e por isso permite a função de Bridge dos roteadores que estão interligados. ou seja. . • A interface criada pelo túnel EoIP suporta todas funcionalidades de uma interface ethernet.Tuneis e VPN 14 . a configuração é semelhante ao IPv4 • O eoip não encripta dos dados.Criação dos Túneis EoIP • É necessário especificar o ip do lado remoto.Tuneis e VPN 15 . 2 . para habilitar a checagem deve-se especificar o tempo de keepalive. além disto o tunnel id. que deve ser igual em ambos os roteadores. • O estado running. não necessarimente indica que o túnel está “fechado” já que o túnel é site to site. • Existe o eoip específco para ipv6. Se nenhuma reposta é recebida pelo período de 2 vezes o definido em keepalive timeout o cliente é considerado desconectado. Normalmente o padrão ethernet permite 1500 bytes. • Authentication: As formas de autenticação permitidas são: – Pap: Usuário e senha em texto plano sem criptografica. deve-se definir valores menores para evitar fragmentação. – Mschap1: Versão chap da Microsoft conf. • Keepalive Timeout: Define o período de tempo em segundos após o qual o roteador começa a mandar pacotes de keepalive por segundo. RFC 2433 – Mschap2: Versão chap da Microsoft conf. Em serviços PPP que precisam encapsular os pacotes.PPP – Definições Comuns para os serviços • MTU/MRU: Unidade máximas de transmissão/ recepção em bytes. RFC 2759 2 . – Chap: Usuário e senha com criptografia.Tuneis e VPN 16 . em bytes. ou seja. que poderá ser recebido pelo link. O processo interativo de envio de pacotes em determinados tamanhos. Se um pacote ultrapassa esse valor ele será dividido em pacotes menores. sistemas Unix e no Mikrotik ROS. a resposta dos roteadores intermediarios e a adequação dos pacotes posteriores é chamada Path MTU Discovery ou PMTUD. Especificar o MRRU significa permitir MP (Multilink PPP) sobre túnel simples.PPP – Definições Comuns para os serviços • PMTUD: Se durante uma comunicação alguma estação enviar pacotes IP maiores que a rede suporte. Para isso o MP deve ser configurado em ambos lados. então será necessário que haja algum mecanismo para avisar que esta estação deverá diminuir o tamanho dos pacotes para que a comunicação ocorra com sucesso. • MRRU: Tamanho máximo do pacote. Essa configuração é útil para o PMTUD superar falhas. permitindo o melhor dimensionamento do túnel. Normalmente esta funcionalidade está presente em todos roteadores. maiores que a MTU do caminho.Tuneis e VPN 17 . 2 . Introdução 18 .MULTILINK PPP Sobre túnel simples 1. MULTILINK PPP Sobre túnel simples 1.Introdução 19 . apenas o cliente • Para configurar o MLPPP em interfaces e definir mais de uma interface.MULTILINK PPP Sobre mútiplos enlaces • Modo cliente está disonível a partir da 3.10 • No RouterOs não suporta o modo server com multilink ppp. 1.Introdução 20 . Em alguns caso o PMTUD está quebrado ou os roteadores não conseguem trocar informações de maneira eficiente e causam uma série de problemas com transferência HTTP. Um pacote MSS que ultrapasse o MSS dos roteadores por onde o túnel está estabelecido deve ser fragmentado antes de enviá-lo.. Para executar essa diminuição o RouterOS automaticamente cria regras no mangle. Os pacotes de 1500 bytes. padrão da interface ethernet tem problemas para passar por um túnel ppp. POP. Neste caso Mikrotik proporciona ferramentas onde é possível interferir e configurar uma diminuição do MSS dos próximos pacotes através do túnel visando resolver o problema. FTP. tamanho máximo do segmento de dados. 2 . etc.. Assegurando que os pacotes ip não superem o valor máximo permitido no túnel.Tuneis e VPN 21 .MSSS Maximun Segment Size. será o default • A melhor opção é yes 2 .Opção Change MSSS • Valores: –Yes: Ajusta o valor do MSS –No: Não ajusta o valor do MSS –Default: Utiliza o valor padrão do perfil da interface. se não configurado.Tuneis e VPN 22 . por exemplo.Não é possível utilizar os perfis ou a base de dados de usuários (secrets) de outro roteador para autenticar seus usuários locais. . pptp. se for um túnel pppoe. o caller id será o ip do cliente que pode se conectar ao seu servidor. o caller-id esperado será um mac-address. como por exemplo. 2 .A opção Caller-id pode ser preenchida de acordo com o túnel que vai chamar. assim como os a base de dados dos usuários (secrets) são comuns a todos os serviços ppp. porém é importante ressaltar que: . l2tp.Tuneis e VPN 23 . pppoe.Perfis PPP / Secrets • Os perfis. se for um túnel l2tp ou pptp. essa lista está presente no /ip firewall address-list. regras de mangle dentre outras funcionalidades.Tuneis e VPN 24 . e serão criadas dinâmicamente. 2 . • WINS Server : Configuração dos servidores DNS microsoft para atribuir aos clientes • Use Compression/Encryption/Change TCP MSS: caso estejam em default. • DNS Server : Configuração dos servidores DNS a atribuir aos clientes. vão associar ao valor que está configurado no perfil default-profile. Pode ser usada para filtros.Mais sobre perfis • Incoming/Outgoing Filter: Nome do canal do firewall para pacotes que estejam entrando/saindo. • Address List: Lista de endereços IP para associar ao perfil. pode ser no formato rx-rate/tx-rate. • Only One: Permite apenas uma sessão para o mesmo usuário. 2 . tendo atividade ou não após esse período.Mais sobre perfis • Session Timeout: Duração máxima de uma sessão. ou seja upload/download. a sessão é terminada. ou seja. • Rate Limit: Limitação da velocidade. assim que o usuário se conectar ele será desconectado após o período de tempo definido. Caso deseje uilizar burst pode ser usado na forma rxrate/tx-rate rx-burst-rate/tx-burstrate rx-burstthreshould/tx-burst-threshould burst-time priority rx-rate-min/tx-rate-min. • Idle Timeout: Período de ociosidade na transmissão de uma sessão. Se não houver tráfego IP dentro do período configurado.Tuneis e VPN 25 . Tuneis e VPN 26 .Mais sobre Perfis • Introduzido na versão 5 a possibilidade do uso de IPv6 e MPLS em túneis PPP • Foi introduzido na versão 6 a opção de queue que permite definir o parentesco e o tipo da fila além da posição da criação padrão das novas filas 2 . Tuneis e VPN 27 . • Caller ID: IP. MAC.Mais sobre o Secret • Service: Especifica o serviço disponível para este cliente em particular. • Limits Bytes IN/Out: Quantidade em bytes que o cliente pode trafegar por sessão. • Routes: Rotas que são criadas do lado do servidor para esse cliente especifico. Várias rotas podem ser adicionadas separadas por vírgula. etc “de quem está chamando” • Local/Remote Address: Endereço IP Local (servidor) e remote(cliente) que poderão ser atribuídos a um cliente em particular. As informações contidas em /ppp secrets tem maior prioridade sobre /ppp profile • 2 . • VPNs seguras usam protocolos de criptografia por tunelamento que fornecem confidencialidade. Quando adequadamente implementados. 2 .Tuneis e VPN 28 .VPN • Uma Rede Privada Virtual é uma rede de comunicações privada normalmente utilizada por uma empresa ou conjunto de empresas e/ou instituições. estes protocolos podem assegurar comunicações seguras através de redes inseguras. autenticação e integridade necessárias para garantir a privacidade das comunicações requeridas. construídas em cima de uma rede pública. O tráfego de dados é levado pela rede pública utilizando protocolos padrão. não necessariamente seguros. Tuneis e VPN 29 . 2 . – Fazer com que o usuário. se torne parte da rede corporativa remota recebendo IPs desta e perfis de segurança definidos. wireless. etc. – A base da formação das VPNs é o tunelamento entre dois pontos. impressoras.VPN • As principais características da VPN são: – Promover acesso seguro sobre meios físicos públicos como a internet por exemplo.. – Promover acesso seguro sobre linhas dedicadas.. porém tunelamento não é sinônimo de VPN. etc. – Promover acesso seguro a serviços em ambiente corporativo de correio... na prática. Tuneis e VPN 30 .Site-to-site 2 . Tuneis e VPN 31 .Conexão remota 2 . • O PPTP Utiliza a porta TCP 1723 e o protocolo 47/GRE (Generic Routing Encapsulation) • O RouterOS suporta tanto servidor quanto cliente e ambos podem funcionar simultaneamente no mesmo roteador. • Este túnel é especialmente útil porque tem clientes nativos em praticamente todos os sistemas opearacionais.Tuneis e VPN 32 . • Para utilizar esse túnel através de redes com nat é obrigatório o uso de “nat helpers”.PPTP • PPTP – Point-to-Point Tunneling Protocol: Protocolo de tunelamento ponto a ponto é um protocolo de tunelamento seguro para transportar tráfego IP utilizando PPP. no mikrotik. os nat helpers estão em /ip firewall services 2 . L2TP • L2TP – Layer2 Tunelling Protocol: Protocolo de tunelamento de camada 2 tem praticamente a mesma funcionalidade que o túnel pptp • O L2TP Utiliza a porta UDP 1701 para estabelecer o enlace e para enviar o tráfego utilizando qualquer porta UDP disponível.Tuneis e VPN 33 . • O L2TP não tem problemas de atravessar redes “nateadas” 2 . • Assim como no PPPTP O RouterOS suporta tanto servidor quanto cliente e ambos podem funcionar simultaneamente no mesmo roteador. Tuneis e VPN 34 . adicione um usuário em “secrets” e habilite o servidor PPTP conforme as figuras.Configuração do Servidor PPTP e L2TP • Configure um pool. um perfil para o PPTP. 2 . : Hosts do Setor1 conectam em servidores do Setor2 e vice-versa. Ex.Tuneis e VPN 35 .Configuração do Servidor PPTP e L2TP • Configure os servidores PPTP e L2TP. • Configure nos hosts locais um cliente PPTP e realize conexão com um servidor da outra rede. 2 . • Atente para utilizar o perfil correto. conforme observamos nas imagens. 2 .Tuneis e VPN 36 .Configuração do Servidor PPTP e L2TP • As configurações para o cliente PPTP e L2TP são bem simples. Tuneis e VPN 37 .BCP • RouterOS tem suporte BCP para todos os túneis PPP. • BCP permite colocar em bridge pacotes ethernet a través de enlaces PPP • BCP é uma parte indepedente do túnel PPP. de maneira indepente 2 . não tem relacão com a direção do tráfego IP da interface do túnel • Os procesos de bridging e routing podem ocorrer ao mesmo tempo. Configurando um BCP • Habilitar o bcp é muito simples: Criar uma bridge, ir em ppp profiles e definir a bridge. 2 - Tuneis e VPN 38 VPN IPSEC • Proporciona uma estrutura completa segura para vpns que atravessem a internet • É normalmente utilizado para interligação de diversas empresas, órgãos públicos sistemas de cartões de crédito. • Assegura a confidencialidade, quer dizer, somente as “pessoas” autorizadas podem ver os dados sensíveis. Adota métodos de encriptação e controle de acesso para isto. • Também conta com um mecanismo de revisão de integridade dos dados que garante que não tenham sido modificados por alguém não autorizado. 2- Túneis e VPN 39 IPSec • Internet Procotol Security é um conjunto de protocolos definido pela IETF para garantir a troca segura de pacotes IP/IPv6 através de redes não seguras (Internet). É opcional no IPV4 e no IPV6. • IPSec se pode dividir nos seguintes grupos: • –Autentication Header (AH) - RFC 4302 para integridade e autenticação • –Encapsulating Security Payload (ESP) - RFC 4303 para confidencialidade • –Internet Key Exchange (IKE) – É utilizado para a criação e distribuição dinâmica de chaves de criptografia para AH e ESP. 2- Túneis e VPN 40 202.Túneis e VPN 41 . 2.Túnel IPSec Site-to-Site Dois routers remotos estão conectados a internet e as redes locais dos escritórios estão “NATeadas”.1.0/24 for Office2 Ambos escritórios remotos tem um túnel seguro para as redes Locais entre os routers.1.101. Cada escritório tem sua própria subnet.0/24 para o Office1 E 10. 10. Portanto. porém não encripta.Authentication Header (AH) • AH é um protocolo que proporciona a autenticação de todo ou parte do conteúdo de um datagrama através da adição de um cabeçalho que se calcula sobre a base dos valores em seu datagrama. AH proporciona autenticação porém não a privacidade (Outro protocolo ESP se utiliza para proporcionar criptografia). • RouterOS suporta: SHA1 e MD5 2. • A presença do cabeçalho AH permite verificar a integridade da mensagem.Túneis e VPN 42 . ou pode usar em conjunto com AH.Contém os dados já encriptados.Túneis e VPN 43 .Encapsulating Security Payload (ESP) • ESP usa criptografia de chave compartilhada para proporcionar privacidade de dados. • Em vez de ter apenas um cabeçalho.ESP Autentication Data . 2. ESP suporta seu próprio esquema de autenticação usado no AH.Cabeçalho ESP: Colocado antes dos dados criptografados e sua colocação depende se o ESP é usado em modo de transporte ou modo túnel. .Trailer ESP: Colocado após os dados criptografados e é usado para sincronizar os dados criptografados. . divide seus campos em três componentes: . –Camelia – 128. 2.Túneis e VPN 44 .Algoritmos de Autenticação/Encriptação • O RouterOS suporta os seguintes algorítimos de autenticação: . –3DES – 168 bits DES. 192 e 256 bits. –Blowfish. 192 e 256 bits.MD5 • O RouterOS suporta os seguintes algorítimos de encriptação: –DES – 56 bits DES-CBC. –AES – 128.SHA . –Twofish. eles fornecem meios para autenticação dos hosts e gerenciamento automático de associações de segurança (SA).Internet Key Exchange Protocol • IKE é um protocolo que fornece material de chave de autenticação para o quadro de ISAKMP (Internet Security Association and Key Management Protocol) • Existem outros esquemas de troca de chaves que trabalham com ISAKMP. mas IKE é o mais utilizado.Túneis e VPN 45 . • Juntos. 2. DPD and lifetime (optional) 2.exchange mode .Internet Key Exchange Protocol Os peers estabelecem conexão e executam duas fases: • Fase 1: Os pares devem concordar com os algoritmos utilizados em mensagens IKE e autenticar.DH group .authentication method .hash alorithm .Túneis e VPN 46 . Material de chave usada para derivar chaves para todos os SAs e proteger seguinte trocas ISAKMP entre hosts é gerado: Nesta fase tem que combinar os seguintes itens: .NAT-T .encryption algorithm . mode (tunnel or transport) . ou quantidade de dados que podem ser criptografados por este SA.PFS (DH) group .authentication method . Todos os SAs estabelecidas pelo IKE daemon terão valores de vida (ou de limitação de tempo.Ipsec protocol .lifetime 2.Túneis e VPN 47 . após o qual SA se tornará inválida. ou ambos).Internet Key Exchange Protocol • Fase 2: Os pares estabelecem uma ou mais SAs que serão usados pelo IPsec para criptografar dados. Nesta fase tem que combinar os seguintes itens: . Túneis e VPN 48 .Internet Key Exchange Protocol 2. Túneis e VPN 49 . que cria uma conexão segura entre duas partes sem uma chave previamente compartilhada. • Grupos DH suportados: – Group 1: 768 bit MODP – Group 2: 1024 bits MODP – Group 3: EC2N group on GP(2^155) – Group 4: EC2N group on GP(2^185) – Group 5: 1536 bits MODP 2.Diffie-Hellman Groups DH é um protocolo de troca de chaves. Túneis e VPN 50 . o túnel deve ser estabelecida novamente.Configuração inicial Para forçar que o o IPSec funcione automaticamente utilizando o IKE-ISAKMP se deve configurar: – Policy – Peer – Proposal Importante: IPSec é muito sensível às mudanças de horario. 2. Para tal deve-se utilizar NTP. Se ambos os lados do túnel IPsec não estiverem com sincronização de tempo inigualável. 12/32 port=500 auth-method=pre-shared-key secret=“ipseclab” – Router 2: /ip ipsec peer add address=10.1.11/32 port=500 auth-method=pre-shared-key secret=“ipseclab” 2.1.1.Túneis e VPN 51 .Configuração dos Peers Primeiro definimos o direcionamento dos pares e as chaves PSK: – Router 1: /ip ipsec peer add address=10.1. Configuração do Proposal É muito importante que a autenticação e o algorítmo de encriptação proposto seja o mesmo em ambos os lados /ip ipsec proposal add name=“ipseclab” auth-algorithms=sha1 enc-algorithms=3des lifetime=30m pfs-group=modp1024 2.Túneis e VPN 52 . Túneis e VPN 53 .1.1.2.12 sa-dst-address=10.1.100.11 sa-dst-address=172.1.0/24 src-port=any dst-address=10.1.11 tunnel=yes action=encrypt proposal=ipseclab 2. queremos encriptar o tráfego proviniente da rede 10.25.25.0/24 dstport=any sa-src-address=10.100.1.1.12 tunnel=yes action=encrypt proposal=ipseclab – Router 2: /ip ipsec policy add src-address=10.1.0/24 src-port=any dst-address=10.1.1.Configuração das Polices Neste exemplo.1.2.1.0/24 dstport=any sa-src-address=172.1.2.0/24 e vice-versa: – Router 1: /ip ipsec policy add src-address=10.0/24 para a rede 10. mas não será capaz de descencripta-los porque o endereço de origem não é o mesmo que foi estabelecido na política. • O roteador remoto receberá os pacotes criptografados. • Isto é devido a ambos os roteadores terem regras de NAT configuradas que alteram o endereço de origem dos pacotes depois que os pacotes foram criptografados. 2. se você tentar estabelecer um túnel IPSec. todos os pacotes serão recusados.Túneis e VPN 54 .NAT Bypass Neste ponto. não vai funcionar. 1.1.0/24 action=accept disabled=no place-before=0 – Router 2: /ip firewall nat add chain=srcnat src-address=10.2.0/24 action=accept disabled=no place-before=0 2.Configuração do NAT Bypass Para resolver esse problema.1.Túneis e VPN 55 .1.0/24 dst-address=10.1.0/24 dst-address=10. se deve criar uma regra de Nat Bypass – Router 1: /ip firewall nat add chain=srcnat src-address=10.1.2. 2. se necessário Formar grupos de 2 pessoas Criar uma VPN IPSec entre suas redes locais baseado nos exemplos dos slides anteriores.Túneis e VPN 56 .Laboratório de IPSec Restaurar o backup inicial. Uma forma de resolver esse problema é fechar um túnel l2tp que proverá conectividade fim-a-fim verdadeira.L2TP com IPSec O IPSec precisa de conectividade fim-a-fim verdadeira. 2.Túneis e VPN 57 . em resumo não funcionará em redes com nat. por padrão. ou seja é necessário que os dois equipamentos consiguam se enxergar. Perguntas ? 2 .Tuneis e VPN 58 . Controle de acesso de usuários É possível implementar o controle de acesso por basicamente dois meios • Hardware: – Utilizando Entradas estáticas IP/MAC (ARP) – Enviando endereços IP através de um Servidor DHCP e administrando através de entradas estáticas ARP. • Usuarios: – PPPoE requer a configuração do cliente PPPoE – Hotspot redireciona solicitações de clientes para a página de Login. • –PPTP requer configuração de clientes PPTP 3 – Gerencia de usuários 59 . O método MPPE pode ser usado desde que o cliente suporte este método. desperdiçando mais banda. O PPPoE estabelece sessão e realiza autenticação com o provedor de acesso a internet.PPPoE – Cliente e Servidor • PPPoE é uma adaptação do PPP para funcionar em redes ethernet. • O cliente não tem IP configurado. Pelo fato da rede ethernet não ser ponto a ponto. o cabeçalho PPPoE inclui informações sobre o remetente e o destinatário. • PPPoE por padrão não é criptografado. No Mikrotik não é obrigatório o uso de Radius pois o mesmo permite criação e gerenciamento de usuários e senhas em uma tabela local. Cerca de 2% a mais. o qual é atribuído pelo Servidor PPPoE(concentrador) normalmente operando em conjunto com um servidor Radius. 3 – Gerencia de usuários 60 . • Muito usado por grandes operadoras para autenticação de clientes com base em Login e Senha. PPPoE – Estrutura do PPPOE • A estrutura do trama Tipos de pacotes disponíveis 3 – Gerencia de usuários 61 . Estrutura do pacote pppoe 1.Introdução 62 . • No Mikrotik o valor padrão do Keepalive Timeout é 10. Se configurarmos pra zero. e funcionará bem na maioria dos casos. 3 – Gerencia de usuários 63 .PPPoE – Cliente e Servidor • O cliente descobre o servidor através do protocolo pppoe discovery que tem o nome do serviço a ser utilizado. o servidor não desconectará os clientes até que os mesmos solicitem ou o servidor for reiniciado. • Precisa estar no mesmo barramento físico ou os dispositivos passarem pra frente as requisições PPPoE usando pppoe relay. Esta opção não é obrigatória.: Caso queira verificar o MAC-Address. Adicione um usuário e senha /ppp secret add name=usuario password=123456 service=pppoe profile=perfil-pppoe Obs. mas é um parametro a mais para segurança. adicione em Caller ID.Configuração do Servidor PPPoE 3. 3 – Gerencia de usuários 64 . Remote Address = Pool do pppoe. /ppp profile local-address=172.0.16. Adicione um perfil para o PPPoE onde: Local Address = Endereço IP do concentrado.0.16.254 2. /ip pool add name=pool-pppoe ranges=172.0.Configuração do Servidor PPPoE 1.16. Primeiro crie um pool de IPs para o PPPoE.1 name=perfilpppoe remote-address=pool-pppoe 3 – Gerencia de usuários 65 .2-172. mschap2 default-profile=perfil-pppoe disabled=no interface=wlan1 keepalive-timeout=10 maxmru= 1480 max-mtu=1480 max-sessions=50 mrru=512 one-session-per-host=yes servicename=" Servidor PPPoE" 3 – Gerencia de usuários 66 . mschap1. Interface = Interface onde o servidor pppoe vai escutar.Configuração do Servidor PPPoE 4. Adicione o Servidor PPoE Service Name = Nome que os clientes vão procurar (pppoe-discovery). /interface pppoe-server server add authentication=chap. Max Sessions define o número máximo de sessões que o concentrador suportará. o nome do concentrador de acesso pode ser usado pelos clientes para identificar o acesso em que se deve registrar. O nome do concentrador é a identidade do roteador.Mais sobre o PPoE Server O concentrador PPPoE do Mikrotik suporta múltiplos servidores para cada interface com diferentes nomes de serviço. a interface de rádio pode ser configurada com a MTU em 1600 bytes e a MTU da interface PPPoE em 1500 bytes. Em uma rede sem fio. Até o momento não possuímos nenhuma maneira de alterar a MTU da interface sem fio de clientes MS Windows. A opção One Session Per Host permite somente uma sessão por host(MAC Address). o servidor PPPoE pode ser configurado no AP. Para clientes Mikrotik. 3 – Gerencia de usuários 67 . Isto otimiza a transmissão de pacotes e evita problemas associados a MTU menor que 1500 bytes. Por fim. Além do nome do serviço. O valor de MTU/MRU inicialmente recomendado para o PPPoE é 1480 bytes. Service: Nome do serviço designado no servidor PPPoE. Dial On Demand: Disca sempre que é gerado tráfego de saída. User Peer DNS: Usa o DNS do servidor PPPoE. Deixando em branco conecta em qualquer um.Configurando o PPPoE Client • • • • • AC Name: Nome do concentrador. Add Default Route: Adiciona um rota padrão(default). 3 – Gerencia de usuários 68 . etc. aeroportos. normalmente usuário e senha. shoppings..  Acesso controlado a uma rede qualquer.  Com HotSpot.HotSpot  Geralmente usado em área pública como hotéis.Hotspot 69 .  Autenticação baseada em nome de usuário e senha. um usuário que tente navegação pela WEB é arremetido para uma página do HotSpot que pede suas credencias. universidades. com ou sem fio.. 3 . HotSpot  Geralmente usado em área pública como hotéis, aeroportos, shoppings, universidades, etc...  Acesso controlado a uma rede qualquer, com ou sem fio,  Autenticação baseada em nome de usuário e senha.  Com HotSpot, um usuário que tente navegação pela WEB é arremetido para uma página do HotSpot que pede suas credencias, normalmente usuário e senha. 3 - Hotspot 70 Estrutura do Hotspot Servidor de hotspot (Servers)  Um server por interface. Perfis do hotspot (Server Profiles)  Defini como os usuário poderão logar.  Usar Radius ou não.  Definir o diretório que contém as páginas de login. Perfis de usuário (User Profile)  Defini velocidade de cada perfil (planos).  Defini popups.  Defini scripts. Usuários (Users)  Defini usuário e senha  Defini a qual plano o usuário esta associado. 3 - Hotspot 71 HotSpot 3 - Hotspot 72 Hotspot 73 . 3 .HotSpot Apesar de ter sido bem simples a criação do Hotspot o RouterOS criou algumas regras necessárias para o funcionamento. Hotspot 74 . 3 .  Keepalive Timeout: Usado para detectar clientes que estão logados porém não estão mais acessíveis.HotSpot – Detalhes do Servidor  Idle Timeout: Usado para detectar clientes que estão logados e não estão trafegando.  Address Per MAC: Número de IPs permitidos para um determinado MAC.  HTTP Proxy/Port: Endereço e porta do servidor de web proxy. 3 .  SMTP Server: Endereço do servidor SMTP.HotSpot – Perfil do Servidor  HTML Directory: Diretório onde são colocadas as páginas desse hotspot.  Rate Limit: Usado para criar uma fila simples para todo o hotspot.Hotspot 75 . Esta fila vai após as filas dinâmicas dos usuários. 3 . um certificado válido deve ser importado para o roteador. – Trial: Não requer autenticação por um determinado tempo. – Cookie: Usa HTTP cookies para autenticar sem pedir credenciais.Hotspot 76 .HotSpot – Perfil do Servidor  Login by: – MAC: Usa o MAC dos clientes primeiro como nome do usuário. – HTTPS: Usa túnel SSL criptográfado.com – HTTP Cookie Lifetime: Tempo de vida dos cookies. o cliente é liberado sem usuário/senha. – HTTP PAP: Usa autenticação em texto plano. Se existir na tabela de usuários local ou em um Radius. Para que este método funcione. – Split User Domain: Corta o domínio do usuário no caso de usuario@hotspot. Se o cliente não tiver mais o cookie ou se tiver expirado ele de usar outro método. – HTTP CHAP: Usa o método criptografado. – MAC Cookie: Nova funcionalidade usada para facilitar a acessibilidade para smartphones. Autenticação Roteador de borda Internet Roteadores buscando autenticação no Radius Servidor Radius 172.Radius  Remote Authentication Dial In User Service (RADIUS) é um protocolo de rede que provê de forma centralizada autenticação. autorização e contabilização(Accounting em inglês).31.2 3 .Hotspot .31.Hotspot 77 . Configurando Radius 3 .Hotspot .Hotspot 78 . ethernet ou cabo.Hotspot 79 .. • Accounting: Usado para registrar o histórico de logins.HotSpot – Perfil do Servidor • Use Radius: Utiliza servidor Radius para autenticação dos usuários do hotspot. • Interim Update: Frequência do envio de informações de accounting. Normalmente deixado em branco. 3 . tráfego. etc.. • Location ID e Location Name: Podem ser atribuídos aqui e no Radius. 0 significa assim que ocorre o evento. desconexões. • Nas Port Type: Wireless. Informação meramente para referência.  Idle Timeout/Keepalive: Mesma explicação anterior.  Status Autorefresh: Tempo de refresh da página de Status do HotSpot..Hotspot 80 . no entanto agora somente para este perfil de usuários. etc. 3 .HotSpot – Perfil de Usuários  O User Profile serve para dar tratamento diferenciado a grupos de usuários.. diretoria.  Shared Users: Número máximo de clientes com o mesmo username.  Session Timeout: Tempo máximo permitido. comercial. como suporte. Hotspot 81 .HotSpot – Perfil de Usuários  Os perfis de usuário podem conter os limites de velocidade de forma completa.  Rate Limit: [rx-limit/tx-limit] [rx-burst-limit/tx burst-limit] [rxburstthreshold/tx-burst-threshold] [rx-burst-time/tx-bursttime][priority] [rx-limit-at/tx-limit-at] Exemplo: 128k/256k 256k/512k 96k/192k 8 6 32k/64k  128k de upload / 256k de download  256k de upload burst / 512k de download burst  96k threshould de upload / 192k threshloud de download  8 segundos de burst  6 de prioridade  32k de garantia de upload / 64k de garantia de download 3 . always: para todos usuários inclusive por MAC.HotSpot – Perfil de Usuários  Incoming Filter: Nome do firewall chain aplicado aos pacotes que chegam do usuário deste perfil.  Outgoing Filter: Nome do firewall chain aplicado aos pacotes vão para o usuário deste perfil.  Tranparent Proxy: Se deve usar proxy transparente. 3 .Hotspot 82 .http-login: para usuários que logam pela WEB.  Open Status Page: Mostra a página de status.  Outgoing Packet Mark: Marca colocada automaticamente em pacotes que vão para usuários deste perfil. .  Incoming Packet Mark: Marca colocada automaticamente em pacotes oriundos de usuários deste perfil. . . ou seja. .Nunca bloquear. A lista é cíclica. 3 .Pode ser configurado um tempo.HotSpot – Perfil de Usuários  Com a opção Advertise é possível enviar de tempos em tempos “popups” para os usuários do HotSpot.  Advertise Timeout: Quanto tempo deve esperar para o anúncio ser mostrado.Bloquear imediatamente. quando a última é mostrada. começa-se novamente pela primeira.  Advertise Interval: Intervalo de tempo de exibição de popups.Hotspot 83 . Depois da sequência terminada.  Advertise URL: Lista de páginas que serão anunciadas. . antes de bloquear o acesso a rede. usa sempre o intervalo. Hotspot 84 .HotSpot – Perfil de Usuários  O Mikrotik possui uma linguagem interna de scripts que podem ser adicionados para serem executados em alguma situação especifica.  Os parâmetros que controlam essa execução são: – On Login: Quando o cliente conecta ao HotSpot.  No HotSpot é possível criar scripts que executem comandos a medida que um usuário desse perfil conecta ou desconecta do HotSpot. – On Logout: Quando o cliente desconecta do HotSpot.  Os scripts são adicionados no menu: /system script 3 . HotSpot – Usuários 3 .Hotspot 85 .  Name: Nome do usuário.Hotspot 86 . 3 .  MAC Address: Caso queira vincular esse usuário a um endereço MAC especifico.  Routes: Rotas que serão adicionadas ao cliente quando se conectar.  Profile: Perfil onde o usuário herda as propriedades. No caso de autenticação por MAC. Várias rotas separadas por vírgula podem ser adicionadas.  Address: Endereço IP caso queira vincular esse usuário a um endereço fixo. o mesmo deve ser adicionado como username sem senha. Sintaxe: “Endereço destino gateway métrica”. Se o modo Trial estiver ativado o hotspot colocará automaticamente o nome “TMAC_ Address”.HotSpot – Usuários  Server: all para todos hotspots ou para um específico. 3 .  Limit Bytes Out: Limite máximo de download para o usuário.Hotspot 87 .  Limit Bytes In: Limite máximo de upload para o usuário.  Limit Bytes Total: Limite máximo considerando o download + upload.  Na aba das estatísticas é possível acompanhar a utilização desses limites.HotSpot – Usuários  Limit Uptime: Limite máximo de tempo de conexão para o usuário. 3 .HotSpot – Active  Mostra dados gerais e estatísticas de cada usuário conectado.Hotspot 88 . Hotspot 89 .  Para liberar acesso a um determinado site sem necessidade de autenticação utilize Walled Garden.  Para liberar acesso a um determinado IP ou porta sem necessidade de autenticação utilize o Walled Garden IP List. 3 .HotSpot – Liberações especiais  Para liberar acesso a internet para que um determinado host utilize sem a necessidade de autenticação IP Binding.  É possível também fazer traduções NAT estáticas com base no IP original.Hotspot 90 . sem ter que logar na rede inicialmente. É possível também permitir certos endereços “contornarem” a autenticação do hotspot.HotSpot – IP Bindings  O Mikrotik por default tem habilitado o “universal client” que é uma facilidade que aceita qualquer IP que esteja configurado no cliente fazendo com ele um NAT 1:1. 3 .  Também é possível fazer bloqueio de endereços. ou IP da rede ou MAC do cliente. Ou seja.  To Address: Endereço IP o qual o original deve ser traduzido. .Blocked: a tradução não será feita e todos os pacotes serão bloqueados.  Server: Servidor hotspot o qual a regra será aplicada.  Address: Endereço IP do cliente.  Type: Tipo do Binding. .Bypassed: faz tradução mas dispensa o cliente de logar no hotspot.Regular: faz tradução regular 1:1 . 3 .HotSpot – IP Bindings  MAC Address: mac original do cliente.Hotspot 91 . pelo menos por hora. redireciona a requisição para o destino ou um proxy. Por exemplo em um aeroporto poderia se disponibilizar informações sobre o tempo ou até mesmo disponibilizar os sites dos principais prestadores de serviço para que o cliente possa escolher qual plano quer comprar. existe um web proxy embarcado no Mikrotik.  Quando um usuário não logado no hotspot requisita um serviço do walled garden o gateway não intercepta e.  Para implementar o walled garden para requisições http. de forma que todas requisições de usuários não autorizados passem de fato por esse proxy.Hotspot 92 . 3 .HotSpot –Walled Garden  Configurando um “walled garden” é possível oferecer ao usuário o acesso a determinados serviços sem necessidade de autenticação.  Observar que o proxy embarcado no Mikrotik não tem a função de cache. no caso do http. Notar também que esse proxy faz parte do pacote system e não requer o pacote web-proxy. 3 .HotSpot –Walled Garden É importante salientar que o walled garden não se destina somente a serviço WEB. Para tanto existem 2 menus distintos conforme do figuras ao lado. mas qualquer serviço que se queira configurar.Hotspot 93 . Sendo o menu de cima para HTTP e HTTPS e o de baixo para outros serviços e protocolos. : Nos nomes dos domínios é necessário o nome completo. Port: Porta de destino do servidor. podendo ser usado coringas.Hotspot 94 .Address: Endereço IP do usuário requisitante.  Path: Caminho da requisição. Obs.  Src.  Dst.  Method: Método http ou https.  Dst. Também é possível utilizar expressões regulares devendo essas ser iniciadas com (:) 3 . Host: Nome do domínio do servidor de destino.HotSpot –Walled Garden  Action: Permite ou nega. Address: Endereço IP do web server.  Server: Hotspot para o qual o walled garden vale.  Dst. Address: Endereço IP do usuário requisitante.  Protocol: Protocolo a ser escolhido na lista.  Dst. Port: Porta TCP ou UDP que será requisitada.  Dst.  Src.HotSpot –Walled Garden  Action: Aceita. Host: Nome do domínio do servidor de destino.Hotspot 95 . descarta ou rejeita o pacote.  Server: Hotspot para o qual o walled garden vale. Address: Endereço IP do web server.  Dst. 3 .  Podem ser deletados (-) forçando assim o usuário a fazer o login novamente. estes ficam armazenados no hotspot com nome do usuário. 3 .HotSpot – Cookies  Quando configurado o login por cookies.  Enquanto estiverem válidos o usuário não precisa efetuar o procedimento de login e senha.Hotspot 96 . MAC e tempo de validade. Para que esses protocolos funcionem de forma consistente. devem ser usados os módulos “helpers”.Hotspot 97 .HotSpot – Ports  A facilidade NAT do hotspot causa problemas com alguns protocolos incompatíveis com NAT.  No caso do NAT 1:1 o único problema é com relação ao módulo de FTP que deve ser configurado para usar as portas 20 e 21. 3 .  As principais páginas que são mostradas aos usuários são: – redirect.html – redireciona o usuário a uma página especifica. Dst – URL original que o usuário requisitou antes do redirecionamento e que será aberta após a autenticação do usuário. 3 . – login.Hotspot 98 .html – página de login que pede usuário e senha ao cliente.html – página que avisa o usuário que ele está logado.Personalizando o HotSpot  As páginas do hotspot são completamente configuráveis e além disso é possível criar conjuntos completamente diferentes das páginas do hotspot para vários perfis de usuários especificando diferentes diretórios raiz.txt – arquivo de texto que contém os erros que são exibidos ao usuário – alogin. Popup – Será aberta uma janela popup quando o usuário se logar com sucesso.html – página que gera o poupup quando vai “advertir” o usuário – errors.html – página de logout – radvert. Esta página tem os seguintes parâmetros: • • • Username/password. – logout. Hotspot 99 . 3 . •Forma simples de colocar compartilhamento de usuários.Login Oculto •Não será requerido o usuário e senha •Útil para enviar avisos aos usuários ou enviar alguma informação de esclarecimento antes de continuar usando o serviço. html de seu roteador •Abrir o arquivo com algum editor de texto •Modificar as seguintes linhas: –– <input type=”text” value=”$(username)> –– <td><input style="width: 80px" name="username" type="hidden" value=“usuarioXY"/></td> –– <input type=”password”> –– <td><input style="width: 80px" name="password" type="hidden" value=“senha"/></td> 3 .Hotspot 100 .Login Oculto •Baixar o arquivo login. assinálo corretamente e em seguida importá-lo através do menu /system certificates.Hotspot 101 .HotSpot com HTTPS Para utilizar o hotspot com HTTPS é necessário que se crie um certificado. 3 . Pode ser utilizado para administrar: — Usuários do Hotspot —Usuários do PPP — Perfis Wireless —Usuários do Winbox — Leases do DHCP 4 – USER MANAGER 102 .User Manager Aplicação integrada no RouterOS que provê um servidor Radius. Vantagens Fácil de instalar e configurar  Interface Web intuitiva para configuração do sistema Não requer nenhum outro servidor de terceiros. é um sistema integrado ao RouterOS. Não requer licença adicional Não precisa ser habilitado em todos os roteadores da rede.User Manager . 4 – USER MANAGER 103 . Instalação .Hardware As configurações mínimas de hardware são: – 32MB de memória RAM – 2MB de espaço em disco Atualmente o USERMANAGER pode ser instalado em praticamente todas as RouterBoards. a única excessão é os equipamentos com processadores smips (hap) e é compatível com Plataformas X86 4 – USER MANAGER 104 . ou seja não está comprimido no upgrade package (.SoftWare  Está disponível a partir da versão 2.Instalação .npk) por tanto deve ser feito o download pela opção “all package” e instalado de maneira separada  As limitações do software são conforme as licenças: – Level3: 10 Sessões ativas – Level4: 20 Sessões ativas – Level5: 50 Sessões ativas – Level6: Ilimitadas Sessões ativas 4 – USER MANAGER 105 .9-v5  Não pertence ao conjunto de pacotes padrão do sistema. Instalação do User Manager  Verificar se já tem tem instalado em seu Router através do menu /system package Caso não tenha. realize o download pela opção “all package .npk Reiniciar o Router Verificar se está tudo certo.zip” e copie apenas o pacote UserManager. abrindo http://ip_do_Roteador/userman 4 – USER MANAGER 106 . senha em branco 4 – USER MANAGER 107 . que não tem relação com o usuário Admin do router. Customer é o usuário Administrador do sistema. no menu /tool user-manager Quanto via web. Por padrão usuário é Admin.Primeiro Acesso Pode ser tanto pelo terminal.  Um CUSTOMER com permissão de OWER é chamado SUBSCRIBER 4 – USER MANAGER 108 .Customers  Utilizado para Administrar: Usuários. Etc.  É possível criar níveis de hierarquia  Cada CUSTOMER tem um nível de permissão igual ou inferior a de seu pai. Routers. Configurando no Hotspot Habilitar a opção “Use RADUS” no hotspot server profile O hotspot consulta primeiro a base de dados local. criada em /ip hotspot users. e em seguida consulta do servidor radius. No nosso cenário o servidor radius será o User Manager 4 – USER MANAGER 109 . 0.1) para se comunicar com o servidor radius do user manager instalado no mesmo roteador  Defina uma senha “chave” em shared Secret 4 – USER MANAGER 110 .0.Routers  Contém a lista de routers que podem comunicar com User Manager  Utilize o endereço de loopback (127.  Em service. isto é comumente usado para especificar serviços diferentes em bases de dados distintas. 4 – USER MANAGER 111 .Cliente Radius  Configure aqui todos os clientes Radius que deseje  É posivel ter mais de uma configuração.0.0. especifique o serviço que deseja usar.  Coloque o IP 127. o router respeitará a ordem numérica.  No caso de configurar 2 ou mais servidores para o mesmo serviço.1 e coloque o shared secret criado anteriormente. Users Este menu armazana os usuários de /ip hotspot user /ppp secrets /user /ip dhcp-server lease 4 – USER MANAGER 112 . por exemplo a um usuário configurado em /ip hotspot user  É possível especificar usuário. e informações a respeito da acess list wireless. 4 – USER MANAGER 113 . senha.  É possível verificar através do console /tool usermanager user  Equivale.  Como também o perfil a atribuir.Users  Administra os usuários que utilizarão os serviços especificados. endereço ip e informações pessois. Profiles  Os perfis são associados aos usuários criados.  Porém não são obrigatórios para criação de usuários. tempo.  Podemos usar a opção limites para estabelecer as restrições. pool. 4 – USER MANAGER 114 . controle de banda. por exemplo ip. Personalizando o User Manager 4 – USER MANAGER 115 . Personalizando o User Manager Aqui é possível mudar o aspecto visual do user manager Inclusive trocar a logo. texto. cores. etc. títulos. idioma. 4 – USER MANAGER 116 . porque pode lotar o disco principal do sistema.Storage  No menu /system store é possível manipular os discos de armazenamento do UserManager  Isto é uma boa prática porque é possível gerar uma grande quantidade de usuários e logs. 4 – USER MANAGER 117 . Radius Incoming  Permite alterar as opões de usuários em tempo real para o user manager.  Por exemplo: – Alterar a velocidade dos usuários – Desconectar usuários – Estabelecer limites de transferências. etc.. 4 – USER MANAGER 118 . Backup/Restore Este menu é utilizado para realizar backups e restores da base de dados 4 – USER MANAGER 119 .
Copyright © 2024 DOKUMEN.SITE Inc.