Embed Size (px)
Citation preview
TUTORIAL PARA CONFIGURAÇÃO MIKROTIK UTILIZANDO ROTEAMENTO DINÂMICO COM OSPF
E AUTENTIÇÃO RADIUS EM NOSSO SISTEMA IXCPROVEDOR.
Neste senário temos um roteador de internet que vai ser nosso gateway do MK1, entre o MK1
e MK2 fecharemos uma vizinhança OSPF para divulgar suas rotas um para o outro, e com isso
teremos comunicação com as redes. Criaremos um hotspot no MK1 na interface ether2 com
autenticação radius no IXCProvedor para autenticação dos clientes na rede 10.150.1.0/24, no
MK2 criaremos outro hotspot para autenticação dos clientes na rede 10.150.2.0/24.
Entre o MK1 e MK1 utilizamos uma rede /29 que disponibiliza 8 IPs, que é a menor rede para
este senário com os 2 roteadores e as 2 bridges wifi.
10.100.1.0 – Rede
10.100.1.1 – MK1
10.100.1.2 – MK2
10.100.1.3 – Rádio em bridge wds
10.100.1.4 – Rádio em bridge wds
10.100.1.5 – disponível
10.100.1.6 – disponível
10.100.1.7 – broadcast
Em um caso com a comunicação direta entre os roteadores ou com servidores podemos usar
uma rede /30.
Utilizaremos uma porta exclusiva para o IXCProvedor, com uma rede /30 que disponibiliza 4
IPs.
10.120.1.0 – Rede
10.120.1.1 – MK1
10.120.1.2 – IXCProvedor
10.120.1.3 – broadcast
Em cada MK temos que configurar o radius para autenticar no IXCProvedor IP 10.120.1.2.
O MK1 tem conexão direta com o IP do IXCProvedor, pois estão interligados através de uma
rota conectada, mas o MK2 não tem rota para o IP 10.120.1.2, o que resolve este problema é o
protocolo OSPF que vai divulgar essa rota do MK1 para o MK2, e com isso vai ter conexão
como se estivesse em bridge, mas com uma grande diferença a rede esta totalmente roteada e
com o broadcast fragmentado. Eliminando todos os problemas de uma rede bridge.
Em nosso exemplo, estamos usando uma rb750GL que tem 5 portas ethernet que vai ser nosso
MK1 e outra rb450G que também tem 5 portas ethernet, utilize a porta 3 para configurar siga
detalhadamente este tutorial e seja feliz.
Configuração inicial do MK1.
Acessando o MK1, abra o winbox clique no botão ...
Clique em cima do endereço MAC.
Clique em no botão Connect.
Clique em New Terminal.
Digite system reset-configuration tecle enter e confirme com a tecla y.
Aguarde o mickotik reiniciar e acesse novamente. Clique em Remove Configuration, para
remover as configurações padrões.
O MK irá desconectar, conecte novamente.
Abra o menu System > Identity e mude a Identity do router, neste exemplo vamos identificar
com MK1, esta identificação ficara aparecendo na barra de título do wimbox.
Configurando a rede do MK1.
Configurar uma interface bridge para a loopback, essa configuração é feita para termos uma
interface que não dependa de interface física geralmente usada para o protocolo BGP e OSPF.
Abra o menu Bridge, clique no botão + mude o Name para loopback e clique em OK.
Configurando os IPs de todas as interfaces do exemplo.
Menu IP > Addresses, clique no botão +, configurar o IP da ether1 192.168.1.2/24 que deve ser
conectado ao roteador de internet e clique em OK.
Clique no botão + novamente, configurar o IP da ether2 10.150.1.1/24 que será configurado o
hotspot para os clientes e clique em OK.
Clique no botão + novamente, configurar o IP da ether4 10.120.1.1/30 que será conectado
diretamente ao IXCProvedor e clique em OK.
Clique no botão + novamente, configurar o IP da ether5 10.100.1.1/29 que será conectado a
bridge ou diretamente ao MK2 e clique em OK.
Clique no botão + novamente, e finalmente configurar o IP da loopback 10.0.0.1 pode ser
usado qualquer IP esse endereço também vai ser usado para identificar o protocolo OSPF e
clique em OK.
Rede configurada.
Configurando o hotspot na ether2 do MK1.
Menu IP > Hotspot, na aba Servers clique em Hotspot Setup e selecione a ether2 e clique em
Next.
Nesta tela o setup busca automaticamente o IP e a rede da interface selecionada
simplesmente desmarque a opção Masquerade Network, é melhor configurar manualmente o
mascaramento faremos isso mais adiante e clique em Next.
Nesta tela o setup cria automaticamente um range de IP para servir dinamicamente a os
clientes conectados a ether2 mude se achar necessário, geralmente mudamos para o range
iniciar do IP 20 para alguns clientes que precisem ficar com IP fixo ou para alguma antena de
transmissão com IP fixo. Clique em Next.
Nesta tela selecione o certificado geralmente fica none. Clique em Next.
Entre com o servidor SMTP ou deixe a opção 0.0.0.0, e clique em Next.
Nesta tela informe o servidor DNS, neste exemplo é o IP do nosso roteador 192.168.1.1, mas
pode ser o DNS do google 8.8.8.8 ou da operadora. Clique em Next.
Aqui deve ser informado o endereço do hotspot neste caso se não for configurado nada, para
acessar a tela de login manualmente tem que digitar na barra de endereço do navegador o IP
do hotspot que neste exemplo é 10.150.1.1, vamos configurar com login.ixcsoft.com.br ou
conectar.meudominio.com, com isso poderemos acessar o hotspot pelo nome e não mais pelo
IP. Clique em Next.
Nesta tela será solicitado para criar um usuário administrativo informe uma senha segura e
clique em Next.
Finalizando a configuração passo a passo do hotspot clicando em OK.
Ainda no menu IP > Hotspot, na aba servers de 2 cliques em hotspot1, mude o name para algo
que identifique que hotspot é esse, neste exemplo mudamos para hs_mk1_ether2 quando o
cliente conectar por esse hotspot o IXCProvedor vai armazenar essa informação
automaticamente. Mude também o Idle Timeout para 01:00:00 isso significa que vão ser
desconectados os clientes com uma hora de inatividade. Clique em OK.
Na aba Server Profiles edite o profile do hotspot que estamos configurando neste caso é o
hsprof1, clique na aba login marque HTTP PAP e desmarque Cookie. Clique na aba RADIUS.
Na aba RADIUS selecione a opção use RADIUS. Clique em OK
Para que nosso hotspot funcione ainda precisamos configurar o Gateway(rota default) e o
repasse do DNS para os clientes.
Menu IP > Routes, clique no botão + informe o Gateway neste exemplo 192.168.1.1 e clique
em OK.
Menu IP > DNS, clique em Settings e marque a opção Allow Remote Requests e clique em OK.
Abra o menu New Terminal digite ping google.com e tecle enter, para testar se temos
conectividade com a internet partindo de nosso MK1.
Neste roteador que é o principal, e neste exemplo nossos clientes estão configurados com IPs
privados temos que mascarar os IPs para eles terem acesso à internet.
Menu IP > Firewall, aba address lists clique no botão +, iremos dar um nome para essa lista de
endereços, vamos chamar de addr_clientes, como estamos usando o padrão 10.150.1.0/24 e
10.150.2.0/24 para os clientes, 10.120.1.0/30 para o IXCProvedor vamos simplificar e cadastrar
a rede 10.0.0.0/8. Mas nada impede de cadastrar separadamente cada rede, com o mesmo
Name addr_clientes.
Ainda no menu IP > Firewall, clique na aba Nat, clique no botão +, na aba general iremos
selecionar a Chain srcnat, Out. Interface ether1 e clique na aba Advanced.
Na aba Advanced em Src. Address List selecione addr_clientes e clique na aba Action.
Na aba Action em Action selecione masquerade e clique em Ok.
Conecte um computador na ether2 do MK1 aguarde o computador estabelecer a conexão de
rede e tente abrir uma página de internet qualquer, e vai ser redirecionado para a página do
hotspot.
Configurando a conexão com o radius no MK1.
Menu Radius, clique no botão +, marque ppp e hotspot em address informe o IP do
IXCProvedor, neste exemplo 10.120.1.2, informe também a senha cadastrada no concentrador
no sistema IXCProvedor, que por padrão é ixcrad, altere o Timeout para 3000 essa alteração é
muito útil para conexões sem fio que pode ter uma latência maior e o radius tem mais tempo
para responder a solicitação.
Outra configuração importante é a do protocolo SNMP que serve para o MK trocar
informações com o radius evitando que usuários fiquem pendurados no radius.
Menu IP > SNMP, clique em SNMP Settings, marque enabled preencha Contact Info com seu
nome por exemplo e Lacation com sua cidade. Clique em OK.
Outra configuração importante é a do controle de banda, por padrão quando o hotspot
autentica por radius, cria uma Queue dinâmica com tipo default-small, e esse tipo é um
controle de banda muito agressivo, o ideal é alterar para sfq que é mais razoável o controle.
Menu Queues, aba Queue Types, dois cliques em default-small, altere Kind para sfq e clique
em OK.
Está finalizada a configuração radius podemos testar e ver os resultados.
Conecte um computador na porta ether2 do MK1 tente acessar qualquer página.
Por padrão já vem cadastrado no IXCProvedor um usuário e senha para testes.
Usuário: teste
Senha: 123
Analisando os resultados no mikrotik. No menu Queues, o hotspot criou dinamicamente uma queue para controlar a velocidade de
2Mb para o usuário teste, essa informação que o usuário teste tem 2Mb o hotspot recebeu do
servidor radius(IXCProvedor).
No menu IP > Hotspot, aba Active, aqui temos o user teste autenticado em nosso
concentrador, mostra informações como tempo conectado(uptime), o tempo que está
inoperante(idle time), em qual servidor hotspot está conectado(server).
Configurando o protocolo OFPF no MK1.
Este protocolo vai criar dinamicamente as rota do MK1 no MK2 e vice versa. Nesta próxima
tela, abrimos o menu IP > routes.
Primeira rota configurada anteriormente (AS) Ativa e Estática, o Dst. Address 0.0.0.0/0, é nossa
rota default ou seja quando não tiver nenhum outro destino em nossa tabela de rotas envie o
pacote para o roteador 192.168.1.1.
As outras 5 rotas, (DAC) são rotas Dinâmicas, Ativas e Conectadas, foram criadas
dinamicamente quando configuramos o IP nas interfaces, e são conectadas porque estão
diretamente configuradas neste roteador.
Ex: temos nosso servidor radius(IXCProvedor) conectado na porta ether4 com IP 10.120.1.2.
Quando solicitamos login, enviamos um pacote para o roteador MK1 com destino a 10.10.1.2,
o roteador vai verificar em sua tabela de rotas e verifica que tem o destino 10.120.1.0/30 e
então envia o pacote para a porta ether4. Caso não tivesse esse destino 10.120.1.0/30, que vai
ser o caso do MK2 iria mandar o pacote para a rota default 0.0.0.0/0.
Menu Routing > OSPF, aba instances, dois cliques em default, em Router ID informe o IP da
loopback neste exemplo 10.0.0.1, em Redis tribute Default Rute selecione Always (as tope 1),
em Redistribute Conecte Routes selecione as type 1, em Redistribute Static Routes selecione
as type 1, em Redistribute Other OSPF Routes selecione as type 1. E clique em OK.
Com essa configuração identificamos nosso roteador com o IP da loopbak, e vamos divulgar as
rotas conectadas as rotas estáticas outras rotas OSPF e também nossa rota default.
A diferença entre as type 1 e as type 2, é a prioridade as type 2 as rotas terão mais prioridade
que as rotas as type 1, por padrão não interferimos na prioridade das rotas.
Agora temos que configurar quais redes queremos fechar vizinhança neste caso nosso vizinho
é o MK2, temos que informar a rede que usamos para interligar o MK1 e o MK2 neste exemplo
é a rede 10.100.1.0/29, também temos que informar a rede da loopback.
Aba Networks, clique no botão +, em Network informe a rede 10.100.1.0/29, e clique em OK.
Aba Networks, clique no botão +, em Network informe a rede 10.0.0.1, e clique em OK.
Aba Interfaces, verifique que o OSPF reconheceu dinamicamente as interfaces com as redes
que informamos na aba networks, não esqueça que para isso a interface tem que estar UP ou
conectada, e por padrão o Network Types é broadcast, ou seja vai procurar os vizinhos por
broadcast para conexão com cabo 100% é a melhor opção, automaticamente vai aparecer o
vizinho na aba Neighbors, isso se o MK2 estiver configurado, mas quando usamos rede sem fio
que é o caso deste exemplo temos que mudar essa opção para NBMA(Não Broadcast), e
informar o IP do vizinho manualmente na aba NBMA Neighbors.
Na aba Interfaces, dois cliques na interface que esta conectada ao vizinho neste caso ether5,
clique no botão copy, mude Network Type para nbma e clique em OK.
As interfaces devem ficar assim.
Na aba NBMA Neighbors, clique no botão +, em Address informe o IP do vizinho, neste
exemplo é o IP da ether1 do MK2 10.100.1.2, e clique em OK.
Fim da configuração do OSPF no MK1, ainda não está fechada a vizinhança, falta configurar o
MK2.
Configuração inicial do MK2.
Acessando o MK2, abra o winbox clique no botão ...
Clique em cima do endereço MAC.
Clique em no botão Connect.
Clique em New Terminal.
Digite system reset-configuration tecle enter e confirme com a tecla y.
Aguarde o mickotik reiniciar e acesse novamente. Clique em Remove Configuration, para
remover as configurações padrões.
O MK irá desconectar, conecte novamente.
Abra o menu System > Identity e mude a Identity do router, neste exemplo vamos identificar
com MK2, esta identificação ficara aparecendo na barra de título do wimbox.
Configurando a rede do MK2.
Configurar uma interface bridge para a loopback, essa configuração é feita para termos uma
interface que não dependa de interface física geralmente usada para o protocolo BGP e OSPF.
Abra o menu Bridge, clique no botão + mude o Name para loopback e clique em OK.
Configurando os IPs de todas as interfaces do exemplo.
Menu IP > Addresses, clique no botão +, configurar o IP da ether1 10.100.1.2/29 que deve ser
conectado a bridge ou diretamente roteador MK1 e clique em OK.
Clique no botão + novamente, configurar o IP da ether2 10.150.2.1/24 que será configurado o
hotspot para os clientes e clique em OK.
Clique no botão + novamente, e finalmente configurar o IP da loopback 10.0.0.2 pode ser
usado qualquer IP esse endereço também vai ser usado para identificar o protocolo OSPF e
clique em OK.
Rede configurada.
Configurando o protocolo OFPF no MK2.
Menu Routing > OSPF, aba instances, dois cliques em default, em Router ID informe o IP da
loopback neste exemplo 10.0.0.2, em Redistribute Connected Routes selecione as type 1, em
Redistribute Static Routes selecione as type 1, em Redistribute Other OSPF Routes selecione as
type 1. E clique em OK.
Com essa configuração identificamos nosso roteador com o IP da loopbak, e vamos divulgar as
rotas conectadas as rotas estáticas e outras rotas OSPF.
Agora temos que configurar qual redes queremos fechar vizinhança neste caso nosso vizinho é
o MK1, temos que informar a rede que usamos para interligar o MK1 e o MK2 neste exemplo é
a rede 10.100.1.0/29, também temos que informar a rede da loopback.
Aba Networks, clique no botão +, em Network informe a rede 10.100.1.0/29, e clique em OK.
Aba Networks, clique no botão +, em Network informe a rede 10.0.0.2, e clique em OK.
Aba Interfaces, verifique que o OSPF reconheceu dinamicamente as interfaces com as redes
que informamos na aba networks, não esqueça que para isso a interface tem que estar UP ou
conectada, e por padrão o Network Types é broadcast, ou seja vai procurar os vizinhos por
broadcast para conexão com cabo 100% é a melhor opção, automaticamente vai aparecer o
vizinho na aba Neighbors, isso se o MK1 estiver configurado, mas quando usamos rede sem fio
que é o caso deste exemplo temos que mudar essa opção para NBMA(Não Broadcast), e
informar o IP do vizinho manualmente na aba NBMA Neighbors.
Na aba Interfaces, dois cliques na interface que esta conectada ao vizinho neste caso ether1,
clique no botão copy, mude Network Type para nbma e clique em OK.
As interfaces devem ficar assim.
Na aba NBMA Neighbors, clique no botão +, em Address informe o IP do vizinho, neste
exemplo é o IP da ether5 do MK1 10.100.1.1, e clique em OK.
Agora com o MK1 e MK2 configurados temos a vizinhança entre os dois roteadores, isso pode
ser verificado na aba Neighbors
No menu IP > Routes, podemos verificar que temos as rotas DAo, que são as rotas recebidas
por OSPF, temos a rota default e as rotas conectadas do MK1.
Alguns testes, menu New Terminal, ping para a internet e para o IXCProvedor.
Configurando o hotspot na ether2 do MK2.
Menu IP > Hotspot, na aba Servers clique em Hotspot Setup e selecione a ether2 e clique em
Next.
Nesta tela o setup busca automaticamente o IP e a rede da interface selecionada
simplesmente desmarque a opção Masquerade Network, não é necessário o mascaramento,
em uma rede roteada.
Neste tela o setup cria automaticamente um range de IP para servir dinamicamente a os
clientes conectados a ether2 mude se achar necessário, geralmente mudamos para o range
iniciar do IP 20 para alguns clientes que precisem ficar com IP fixo ou para alguma antena de
transmissão com IP fixo. Clique em Next.
Nesta tela selecione o certificado geralmente fica none. Clique em Next.
Entre com o servidor SMTP ou deixe a opção 0.0.0.0, e clique em Next.
Nesta tela informe o servidor DNS, neste exemplo é o IP do nosso MK1 10.100.1.1, mas pode
ser o DNS do google 8.8.8.8 ou da operadora. Clique em Next.
Aqui deve ser informado o endereço do hotspot neste caso se não for configurado nada, para
acessar a tela de login manualmente tem que digitar na barra de endereço do navegador o IP
do hotspot que neste exemplo é 10.150.2.1, vamos configurar com login.ixcsoft.com.br ou
conectar.meudominio.com, com isso poderemos acessar o hotspot pelo nome e não mais pelo
IP. Clique em Next.
Nesta tela será solicitado para criar um usuário administrativo informe uma senha segura e
clique em Next.
Finalizando a configuração passo a passo do hotspot clicando em OK.
Ainda no menu IP > Hotspot, na aba servers de 2 cliques em hotspot1, mude o name para algo
que identifique que hotspot é esse, neste exemplo mudamos para hs_mk2_ether2 quando o
cliente conectar por esse hotspot o IXCProvedor vai armazenar essa informação
automaticamente. Mude também o Idle Timeout para 01:00:00 isso significa que vai ser
desconectado os clientes com uma hora de inatividade. Clique em OK.
Na aba Server Profiles edite o profile do hotspot que estamos configurando neste caso é o
hsprof1, clique na aba login marque HTTP PAP e desmarque Cookie. Clique na aba RADIUS.
Na aba RADIUS selecione a opção use RADIUS. Clique em OK
Menu IP > DNS, clique em Settings e marque a opção Allow Remote Requests e clique em OK.
Configurando a conexão com o radius no MK2.
Menu Radius, clique no botão +, marque ppp e hotspot em address informe o IP do
IXCProvedor, neste exemplo 10.120.1.2, informe também a senha cadastrada no concentrador
no sistema IXCProvedor, que por padrão é ixcrad, altere o Timeout para 3000 essa alteração é
muito útil para conexões sem fio que pode ter uma latência maior e o radius tem mais tempo
para responder a solicitação.
Outra configuração importante é a do protocolo SNMP que serve para o MK trocar
informações com o radius evitando que usuários fiquem pendurados no radius.
Menu IP > SNMP, clique em SNMP Settings, marque enabled preencha Contact Info com seu
nome por exemplo e Lacation com sua cidade. Clique em OK.
Outra configuração importante é a do controle de banda, por padrão quando o hotspot
autentica por radius ele cria um Queue dinâmica com tipo default-small, e esse tipo é um
controle de banda muito agressivo, o ideal é alterar para sfq que é mais razoável o controle.
Menu Queues, aba Queue Types, dois cliques em default-small, altere Kind para sfq e clique
em OK.
Está finalizada a configuração radius podemos testar e ver os resultados.
Conecte um computador na porta ether2 do MK1 tente acessar qualquer página.
Por padrão já vem cadastrado no IXCProvedor um usuário e senha para testes.
Usuário: teste
Senha: 123
E fim.
