Certified Network Associate

(MTCNA)

RDC, Kinshasa
Octobre, 2020

1
 Horaire
● Mercredi, Jeudi, Vendredi, Samedi : 16h30
– 20h30
● Test de Certification: le dernier jour, 25
questions, pendant 1 heure.

2
 Concernant l’instructeur
• Steve Minu Voumby
• Ir. Tech. en RTM. 2003
• IT dépuis 2000…
• MikroTik dépuis 2008
• Assistant Instructeur depuis 2015
• Ir. En Robotique 2014
• Instructeur MikroTik dépuis Octobre
2016(Dubai UAE)
• Certifié à enseigner MTCNA et MTCWE
3
 Présentation
● Votre Nom et compagnie
● Votre connaissance anterieure en
réseaux informatique
● Votre connaissance anterieur en
RouterOS MikroTik
● Qu’attendez-vous de ce cours?
● Prière de noter votre numéro (XY): ___

4
 Objectifs du Cours
● Donner une vue générale du RouterOS
comme un produit software et Hard
RouterBOARD
● Des ateliers pratiques durant la formation

pour la configuration, la maintenance et la

recherche de panne de base du routeur
MikroTik.

5
 Objectifs du cours
L’Etudiant pourra:
● Etre capable de configurer, d’assumer la

maintenance et la recherche de panne de

base du routeur MikroTik (RouterOS).
● Etre capable d’offrir le service de base aux
clients.
● Avoir une fondation solide, un outil de
valeur pour gérer le réseau informatique.

6
Cours de Certification MikroTik

Cours Introductif -- --→ MTCNA

MTCRE MTCWE MTCTCE MTCUME MTCIPv6E

MTCINE

Pour plus d’info voir: http://training.mikrotik.com

7
 Le somaire de MTCNA

• Module 1: Introduction
• Module 2: DHCP
• Module 3: Pontage (Bridging)
• Module 4: Routage (Routing)
• Module 5: Sans fils (Wireless)
• Module 6: Pare Feu (Firewall)

8
 Le somaire de MTCNA
• Module 7: QoS
• Module 8: Tunneles (Tunnels)
• Module 9: Misc
• Pratique et LABOs durant chaque
module (plus de 40 au total)
• Le plan du cours détaillé est disponible
en ligne sur mikrotik.com

9
 MTCNA

Certified Network Associate

(MTCNA)
Module 1
Introduction
10
 Concernant le MikroTik
▪ Produit routeur logiciel et hardware
▪ Produits utisés par les FAI, les
compagnies et les individus

▪ La Mission: rendre la technologies de

l’Internet rapide, plus puissante et
accessible au plus grand nombre
d’utilisateurs.

11
 Concernant le MikroTik
• 1996: Etablissement
• 1997: RouterOS logicielle pour x86 (PC)
• 2002: Premier equipement RouterBOARD
• 2006: Premier MikroTik User Meeting (MUM)
en Prague, Republique Czech
• 2015: Deuxième grand MUM: Indonesia,
2500+
• 2016: Plus grand MUM: EU, XXXX+
12
 Concernant le MikroTik
• Situé en Latvia
• + de160
employés
• mikrotik.com
• routerboard.com

13
 Le RouterOS MikroTik
• Est le Système d’Exploitation du
hardware MikroTik RouterBOARD
• Peut aussi etre installé sur un PC ou
comme une machine virtual (VM)
• Un système d’exploitation independant
basé sur le kernel Linux.

14
 Caractéristiques du RouterOS

• Supporte le complet 802.11 a/b/g/n/ac

• Pare feu/contrôle de la bande passante
• Le tunnel Point-à-Point (PPTP, PPPoE,
SSTP, OpenVPN)
• DHCP/Proxy/HotSpot
• Et beaucoup d’autres… voir:
wiki.mikrotik.com

15
MikroTik RouterBOARD
• Une famille de solutions matérielles crées
par MikroTik qui fait fonctionner le système
d’exploitation RouterOS
• Allant de petits routeurs domicilier au
concentrateurs d'accès de porteuse de
classe
• Des millions des Routerboards sont
actuellement en train de router le monde

16
 Le RouterBOARD MikroTik
• Solutions Integrée – pret à etre utilisé
• Uniquement en cartes- pour assemblage de
son propre systeme
• Caisses – pour la fabrication de
RouterBOARD par les utilisateurs
• Interfaces – pour étendre les fonctionnalités
• Accessoires

17
 Premier Accès
• câble Null modem
• câble Ethernet
• WiFi

Null Modem Ethernet

Câble Câble

18
 Premier Accès
• WinBox -
http://www.mikrotik.com/download/winbox.exe
• WebFig
• SSH
• Telnet
• Dans le cas de connexion par le port serie il
y a une émulation

19
 WinBox
• L’adresse IP par defaut (LAN side):
192.168.88.1
• User: admin
• Password: (rien)

20
 MAC WinBox

• Observez le resultat WinBox en

vous connectant en utilisant
l'adresse IP
• Connectez vous au routeur en
utilisant l’adresse MAC
• Observez le resultat WinBox

21
 WinBox MAC
• Désactivez l’adresse IP sur l’interface ‘bridge’
• Essaie de loguer dans le routeur en utilisant l’adresse IP
(ce n’est pas possible)
• Essaie de loguer dans le routeur en utilisant l’adresse
MAC du WinBox (c’est possible)

22
 MAC WinBox
• Activez l’adresse IP sur l’interface du pont
‘bridge’
• Loguer dans le routeur en utilisant l’adresse
IP.

23
 WebFig
•Navigateur - http://192.168.88.1

24
 Configuration rapide
•Configuration de elementaire du routeur
dans une seule fenêtre
•Accessible à la fois via WinBox et WebFig
• Ceci est décrit de façon plus détaillée
dans le cours de « l’Introduction à MikroTik
RouterOS et Routerboard"

25
Configuration rapide

26
 Configuration par defaut
•Differentes configurations par défaut sont appliquées
•Pour plus d’info voir ‘default configuration wiki page’
•Exemple: Routeurs SOHO – le client DHCP est sur
Ether1, serveur DHCP sur l’interface pont qui contient
les port Ether2 Master + WiFi
•Peut être ecrasé et avoir le «vide» à utilisé

27
Interface de Commande en Ligne

•Disponible via SSH, Telnet ou ‘New Terminal’

dans WinBox et WebFig

28
 Interface de Commande en Ligne

•<tab> complète la commande

•double <tab> affiche les commandes disponibles
•‘?’ affiche l’aide
•Naviguer les commandes precedentes avec les
buttons <↑>, <↓>

29
Interface de Commande en Ligne
• Structure hierarchique (similaire au menu
WinBox)
• Pour plus d’info voir la page console wiki

30
Acces à l’Internet
Schéma à réaliser

31
 Laptop - Routeur
• Connectez le laptop au routeur avec un cable UTP,
brancher le cable dans n’importe quel ports LAN (2-
5)
• Désactiver d’autres interfaces (Wireless) sur votre
laptop
• Rassurez-vous que l’interface Ethernet est
configuré pour obtenir l’adresse IP automatiquement
(via DHCP)

32
 Router - Internet
• La passerelle (Gateway) Internet de la classe est
accessible par Wireless – c’est un point d’accès (AP)

33
 Routeur - Internet

❑ Pour vous connectez au AP vous devez:

• enlever l’interface Wireless de l’interface
pont ‘bridge’(utilisée dans la configuration par
défaut)
• Configurez le client DHCP client sur
l’interface Wireless

34
 Routeur - Internet
❖ Pour vous connectez au AP vous
devez:
• Créer et configurer un Profile de
securité du sans fil ‘wireless’
• Configurer l’interface sans fil en
mode station
• Et configurer le NAT masquerade

35
 Routeur - Internet

Enlever
L’interface WiFi
du pont

36
 Routeur - Internet

Configurez
le DHCP client
sur l’interface
WiFi

37
 Routeur - Internet

Configurer
le Nom et
la clès Partagée

38
 Routeur - Internet
Selectioner
le Mode
‘station',
SSID
'ClassAP'
Le profile de
Securité
'class‘
• L’outil “Scan…” peut etre utilisé pour voir et connecter
aux APs disponibles

39
 WinBox Tip
• Pour voir les informations qui sont cachées (excepte le
password utilisateur), selectionner Settings → Hide
Passwords

40
 Plage d’adresse Privée et Public
•‘Masquerade’ ou masquage est utilisé pour l’accès
au réseau Public, où les adresses privées ne sont pas
présentes
•Les Réseaux Privés incluent
10.0.0.0-10.255.255.255,
172.16.0.0-172.31.255.255,
192.168.0.0-192.168.255.255

41
 Routeur - Internet

Configurez le
masquerade
Sur l’interface
WiFi

42
 Vérifiez la connexion
• Ping www.mikrotik.com a partir de votre laptop

43
 Recherche de pannes
•Le routeur ne peut faire le ping au delà de AP
•Le routeur ne peut pas resoudre les noms
•Le laptop ne peut pas faire le ping au delà de
votre routeur
•Le laptop ne peut pas resoudre les noms de
domaine
•La règle de ‘Masquerade’ ne fonctionne pas
44
 Conseils de dépannage de réseau
1. Interfaces physiques:
Comprendre pleinement, clairement identifier et vérifier les
connexions physiques par les quelles les données doivent
circuler / déplacer à travers / sur le réseau.
- Est-ce le media câblé (CAT5 / 6 Ethernet), sans fil (2.4Ghz, 5.8Ghz, 900Mhz,
802.11a / b / g / n / ac radio), (3G / 4G, LTE, dongle USB ou carte PCI), fibre
optique (mode simple / multimode 1G ou 10G SFP, DSL)? Qu’est ce le WAN/
publique? Privé / LAN?
- Les points d'extrémité sont - ils bien connectés, alimentés et fonctionnels?
Entièrement branchés? Les lumières clignotent-elles?
- Dans WinBox les Interfaces > doivent être clairement étiquetées à des fins
utiles? etiqueté R pour la marche, il montrent le comptage de données? Dans
le cas du Wireless> Wireless est-il connecté ess? Afficher les noms de radio
clairement dans le tableau d'enregistrement?
- Combinez-vous différentes interfaces en un seul réseau logique? Avez-vous
besoin de pont? Est-ce que votre équipement a les chips de commutation
pour la vitesse de câble?(master/slave interfaces)

45
 Conseils de dépannage de réseau
2. Adresses Réseaux:
Chaque interface segment physique / logique du réseau, a t-elle
l’adresse IP correcte / sous-réseau affecté?
- IP WinBox> Adresses IP 192.168.xy.1/24 Est-elle affectée
statiquement sur l'interface Ether1(SOHO RB951)? Non
- Est-ce que vous recevez / écoute pour une IP sur une interface?
client IP> DHCP sur l'interface correcte?
- Est-ce que ce segment de réseau doit donner des adresses IP?
IP> serveur DHCP. (Rappelez-vous l'IP doit toujours être sur la
plus haute interface de niveau ou en pondération. Ex. pont,
commutateur, Mesh) Note: les interfaces virtuelles sont pondérées
que les interfaces matérielles

46
 Conseils de dépannage de réseau
3. Routes:
Il doit y avoir un chemin pour chaque paquet (adresse DST)
de données pour aller; (Il doit être un itinéraire de retour
également)
- IP> Routes il doit y avoir une route par défaut 0.0.0.0/0
Gateway (IP du prochain routeur en amont) sur l'interface
côté public / WAN.
- Avez-vous une route pour chaque réseau? DAC ou AS
- Est-ce que vous masquez un réseau privé au public? IP>
Pare-feu> NAT sur interface = le côté public de votre réseau
... Action = Masquerade
- Pour Internet; DNS (Domain Name System) IP> DNS
dynamique? (Oui Dhcpclient) ou statique du FAI? partagez-
vous cela? (allow remote request checked)
47
 RouterOS Releases
•Bugfix seulement - fixe, pas de nouvelles
fonctionnalités
Current - mêmes corrections + nouvelles
fonctionnalités
Release Candidate - considèrent comme une
«nightly build»

48
Upgrading the RouterOS
• The easiest way to upgrade

System → Packages → Check For Updates

49
 Mise à niveau du RouterOS
•Téléchargez le update de la page
www.mikrotik.com/download
•Verifiez l’architecture de CPU de votre routeur
•Trainer et deposer ‘Drag&drop’ dans la
fenetre du WinBox.
•D’autres possibilités: WebFig Files menu, FTP, sFTP
•Reboot the router
50
Gestion des paquets
• Les fonctions du RouterOS peuvent être
activées/desactivées par paquets

51
 Les paquets du RouterOS

•Pour plus d’info voir page ‘wiki packages’

52
 RouterOS Packages
•Chaque architecture CPU a un paquet combiné,
par exemple 'Routeros-mipsbe', 'Routeros-tile
Contient toutes les fonctionnalités standard de
RouterOS (sans fil, dhcp, ppa, routage, etc.)
•Les paquets supplémentaires peuvent être
téléchargés à partir de la page
www.mikrotik.com/download

53
 Paquets Extra RouterOS
•Pourvoit les fonctionnalités additionelles
•Uploader le fichier du paquet dans le routeur
et redemarrer

54
 Gestion des paquets
• Désactiver le paquet du sans fil
• Redémarrer le routeur
• Observez la liste des interfaces
• Activez le paquet sans fil ‘wireless’
• Redémarrer le routeur

55
 Gestion des paquets
• Observez le menu du System WinBox (pas
client/serveur NTP)
• Telecharger les fichiers ‘packages’ extra
pour l’ architecture du CPU de votre routeur
• Installer le ‘package’ ntp et redémarrer le
routeur
• Observez le menu du Système WinBox

56
 Retro de Paquets
•De System → menu des Pacquets
•‘Check For Updates’ et choisir different Canal
(exemple bugfix-only)
•Clicquez ‘Download’
•Clicquez ‘Downgrade’ dans la fenetre
‘Package List’

57
 Retro (dégradation) de Paquets

• Retrograder ‘Downgrade’
le RouterOS de la
version courrante à bugfix-only
• Remettez le à niveau à la version currant

58
 RouterBOOT
•Firmware est responsable pour RouterOS sur
l’equipement redémarrer RouterBOARD.
•Deux chargements de démarrage sur
RouterBOARD – le principal et le secour ‘backup’
•Le principal peut etre mis à jour ‘updated’
•Celui de Backup peut etre charger s’il y a nécessité.

59
 Le RouterBOOT

• Pour plus d’info voir RouterBOOT wiki page

60
 Identité du Routeur
• Une option pour nomer chaque routeur
• L’information de l’Identité est disponible dans
differentes places

61
Identité du Routeur
• Configurer l’identité de votre routeur comme
suit:
VotreNumero(XY)_VotreNom
• Par exemple: 12_Steve
• Observe le menu du titre de WinBox

62
Utilisateur du RouterOS
•Utilisateur par Defaut user admin, group full
•Groupes Additionel - read et write
•Vous pouvez creer votre propre groupe et
controler l’accès dans votre routeur

63
Utilisateur du RouterOS

64
 Utilisateur du RouterOS
• Ajouter un nouveau utilisateur au RouterOS
avec le droit d’ accèss full
(noter le nom et password)
• Changer le groupe utilisateur de admin au read
• Loguez vous avec le nouveau utilisateur
• Entrez ensuite avec l’utilisateur admin et
essayez de changer la configuration du routeur
(pas possible)

65
 Utilisateur du RouterOS
• Generer la clés privée/public SSH en utilisant
‘ssh-keygen’ (OS X et Linux) ou ‘puttygen’
(Windows)
• Uploader la partie public de la clés dans le
routeur
• Importez le et attachez le a l’utilisateur
• Loguez-vous dans le routeur en utilisant la clés
privée

66
 Services du RouterOS
• Il y a differentes facons de se conneter au RouterOS
• API - Application Programming Interface
• FTP - pour uploader/downloader les fichiers au/
du RouterOS

67
 Services du RouterOS
• SSH – Interface securisée de commande en ligne
• Telnet – interface non securisée de commande en
ligne
• WinBox – accès GUI
• WWW - accès par le navigateur web.

68
 Services du RouterOS
• Désactiver les services qui ne sont pas utilisés
• Restreindre l’accès avec le champ ‘available from’
• Ports par défaut peut être changé

69
 Services du RouterOS
• Ouvrir l’interface web du RouterOS -
http://192.168.88.1
• Dans WinBox desactiver le service www
• Rafrechissez la page du navigateur

70
 Configuration de Backup
•Deux types de backups
•Le fichier Backup (.backup) – utilisé pour
restaurer la configuration sur le meme routeur
•Le fichier Export (.rsc) - utilisé pour apporter la
configuration vers un autre routeur

71
 Configuration du Backup
•Le fichier Backup peut etre crée et restauré
sous le menu files dans le WinBox
•Le fichier Backup est binaire (non modifiable)
, par defaut crypté avec le password utilisateur.
Il contien la configuration complete ‘full’ du
routeur (passwords, keys, etc.)

72
 Configuration du Backup
•Le nom client et le password peut etre entré
•L’ identité du routeur et la date courrante est
utilisée comme le nom du fichier backup

73
 Configuration du Backup

•Le fichier Export (.rsc) est un script avec

lequel la configuration du routeur peut etre
sauvegardé et restoré
•fichier texte brut (modifiable)
•Il contient seulement la configuration qui est
diferente à la configuration par defaut de
l’usine

74
 Configuration du Backup
•Le fichier Export est crée en utilisant la
commande en ligne ‘export’ dans CLI
•La configuration totale ou partielle du
routeur peut etre sauvegarder dans un fichier
export
•Le passwords utilisateur RouterOS n’est pas
sauvegarder en utilisant export

75
 Configuration de Backup

•Enregistre les fichiers dans le ‘flash’ disque

•Containus pret à utiliser dans RouterOS les
commandes

76
 Configuration de Backup
•Le fichier Export est editable en main
•Peut etre utilisé pour ramener la
configuration à un RouterBOARD different
•Pour restaurer utilisez la commande ‘/import’

77
 Configuration de Backup

•Télécharger sur un ordinateur en utilisant

WinBox (drag & drop), FTP ou WebFig
•Ne pas stocker la copie de la sauvegarde
que sur le routeur! Il est pas une bonne
stratégie de sauvegarde!!

78
 Configuration Reset
- Remise à la configuration par défaut
- Conserver les utilisateurs RouterOS après
réinitialisation
- Réinitialiser à un routeur sans configuration
(«blanc»)
- Exécuter un script après la réinitialisation

79
 Configuration Reset
•L’Utilisation du bouton physique ‘reset’ du
routeur entraine:
•Telechargez le “backup RouterBOOT loader”
•Reset la configuration du routeur
•Active le mode CAPs (AP Controllé)
•Demarre en mode Netinstall
•Pour plus d’info voir reset button wiki page
80
 Netinstall
•Utilisé pour installer et reinstaller le RouterOS
•La connexion réseau directe au router est
indispensable (Peut etre utilisé dans un LAN
communté)
•Le cable doit etre connecté au port Ether1
(excepté CCR et RB1xxx – au dernier port)
•Fonctione sur Windows
•Pour plus d’info voir Netinstall wiki page
81
 Netinstall

•Disponible au www.mikrotik.com/download
82
 Configuration de Backup
• Crée un fichier .backup
• Copier le dans votre laptop
• Effacer le fichier .backup de votre routeur
• Faites le reset de la configuration de votre
routeur
• Copier le fichier .backup encore dans votre
routeur
• Restaurer la configuration de votre routeur

83
Configuration de Backup
● Cree un backup utilisant la commande ‘export’
● Efacez le fichier export de votre routeur
● Fait le reset de configuration du routeur
● Copiez le fichier export vers le routeur
● Restorez la configuration du routeur

84
 Netinstall
• Telecharger Netinstall
• Redemarrer votre routeur en mode Netinstall
• Installer le RouterOS sur votre routeur
utilisant Netinstall
• Restorer la configuration de fichier backup
précédemment sauvegarder:

85
 License du RouterOS
• Tout les RouterBOARDs sont expedier
Avec une licence
• Differents niveaux de licenses (technique)
• Le fichier RouterOS updates
La license x86 peut etre commandé
du site www.mikrotik.com ou distributeurs

86
License du RouterOS

87
 Informations Additionelles

•wiki.mikrotik.com - documentation et
exemples sur le RouterOS
•forum.mikrotik.com – pour communiquer avec
les autres utilisateurs du RouterOS
•mum.mikrotik.com – page MikroTik User
Meeting
•Support des distributeurs et consultants
•[email protected]
88
Sommaire Module 1

89
Certified Network Associate
(MTCNA)
Module 2
DHCP

90
 DHCP
•Dynamic Host Configuration Protocol
•Utilisé pour la distribution automatique d’adresse IP sur le
reseau local
•Utilise le DHCP que dans un reseau rassurant
•Fonctionne dans un domaine de difusion
•Le RouterOS est capable de se configurer comme DHCP
client et serveur
• Ne peut etre installe que sur une interface ayant une
adresse valide
•Un seul serveur DHCP par interface
91
 DHCP Client
•Utilisé pour acquerir automatiquement
1.l’address IP, 2.le masque de sous reseau, la
passerelle par defaut, 3.l’adresse du serveur DNS
et 4.les configurations additionelles si elles sont
pourvues
•Les routeurs MikroTik SOHO par defaut ont le
DHCP client configuré sur l’interface ether1(WAN)

92
DHCP Client

93
 DNS
• Par défaut le DHCP client
demande l’adresse IP du serveur DNS
• Elle peut aussi etre confi-
guré manuellement si d’autres
serveur DNS sont desirés
ou le DHCP n’est pas utilisé

94
 DNS
• Le RouterOS est capable de recevoir les entrées
DNS static
•Par defaut il y a un DNS statique, Un routeur
enregistré et nomme qui pointé au 192.168.88.1
• Cela veut dire que vous pouvez acceder le
routeur en utilisant le nom de DNS aulieu de l’IP
• http://router

IP → DNS → Static
95
 Serveur DHCP
•Assigne automatiquement les adresses IP aux
hotes ou clients qui ont adressés leurs
requettes d’adresse IP
•L’adresse IP devrait etre configuré sur
l’interface que le Serveur DHCP utilisera
•Pour l’activer utilisez la commande ‘DHCP
Setup’

96
 Serveur DHCP
• Déconnectez vous du routeur
• Reconnectez vous utilisant l’adresse MAC du
routeur

97
 Serveur DHCP
• Nous allons enlever le Serveur DHCP existant
et configurer un nouveau
• Utilisez votre nombre (XY) pour le sous reseau,
exemple 192.168.XY.0/24
• Pour activer le Serveur DHCP sur le pont, il doit
etre configuré sur l’interface bridge
(non sur le port bridge)

98
 Serveur DHCP
Enlever
Le serveur DHCP

Enlever
Le réseau DHCP

99
 Serveur DHCP

Enlever
Le pool DHCP

Enlever
L’adresse DHCP

100
 Serveur DHCP

Ajouter d’Adresse
192.168.XY.1/24
sur l’interface bridge

• Par exemple, XY=199

101
Serveur DHCP

102
 Serveur DHCP
• Deconnectez du routeur
• Renouveller l’adresse IP de votre laptop
• Connectez a la nouvelle adresse IP du
routeur 192.168.XY.1
• Verifiez que la connexion a l’Internet est
disponible

103
 DHCP Server
•La procedure de Setup
du Serveur DHCP a crée
un nouveau pool IP et
Serveur DHCP

104
 DHCP Static Leases
•Il est possible de toujours assigner la meme
adresse IP pour le meme equipement
(identifier par adresse MAC)
•Le Serveur DHCP peut etre utilisé sans le pool
IP dynamique et assigner seulement les
adresses preconfigurées

105
DHCP en Leases Static

106
 DHCP en Leases Static
• Configurer le pool des adresses DHCP en “static
only”
•Créez un lease statique pour votre laptop
• Changer l’adresse IP qui etait assigné à votre
laptop par le serveur DHCP au 192.168.XY.123
• Renouveler l’adresse IP de votre laptop
• Demande à ton voisin de connecter son laptop
A votre routeur (Il n’aura pas une adresse IP)

107
 ARP
• Address Resolution Protocol
• ARP fait correspondre l'adresse IP du
client (Couche 3) avec l'adresse MAC
(couche 2)
• ARP fonctionne dynamiquement
• Peut également être configuré
manuellement

108
 Table ARP
• Fournit des informations sur l'adresse IP,
l'adresse MAC et l'interface à laquelle
l'appareil est connecté

109
 Static ARP
•Pour plus de sécurité les entrées ARP
peuvent être ajoutés manuellement
•Interface réseau peut être configuré en
reply-only pour identifier les entrées ARP
•Le client du routeur ne sera pas en
mesure d'accéder à Internet en utilisant
une adresse IP différente

110
ARP Static

111
 ARP Static

L’Interface répondra
seulement pour
les entrées ARP
connues

112
 DHCP et ARP
•DHCP Server peut ajouter des entrées
ARP automatiquement
•Combiné avec static leases et reply-
only ARP peut augmenter la sécurité du
réseau tout en conservant la facilité
d'utilisation pour les utilisateurs

113
DHCP et ARP

114
 Static ARP
• Faites l’entrée ARP de votre laptop statique
• Configurer le ARP de l’interface bridge en ‘reply-
only’ pour desactiver les ajouts automatique de
l’ARP
• Vous seriez entrain de recevoir du serveur DHCP
en ‘static-only’ et en statique lease pour le laptop.
Si non, reprendre le LABO precedent
• Activer ‘Add ARP For Leases’ sur le serveur DHCP

115
 ARP Statiaque
• Enlevez l’entrée statique de votre laptop de la table
ARP
• Verifier la connection Internet (ne fonctionne pas)
• Renouveler l’adresse IP de votre laptop
• Verifier la connexion Internet (ca fonctionnerait)
• Connectez au router et observez la table ARP

116
Sommaire
Module 2

115
Certified Network Associate
(MTCNA)

Module 3
Pontage (Bridging)

118
 Pont ‘Bridge’
•Les ponts sont les materiels de couche2 de
protoccols OSI
•Le bridge est un equipement transparent
•Traditionellement utilisé pour relier deux segments
d’un reseau
•Le Bridge divise le domaine de collision en deux
parties
•Le switch est un pont multi-port - chaque port est
un domaine de collision d’un equipement

119
 Pont ‘Bridge’
•Touts les hotes peuvent communiquer entre
eux
•Tous partagent le meme domaine collision

120
 Bridge
•Tous les hotes continuent a communiquer
entre eux
•Maintenant il y a 2 domaines de collision
donc
Moins de
collision

121
 Bridge
•RouterOS implémente le software bridge
•Les interfaces Ethernet, Wireless, SFP et
tunnel peuvent être ajoutés dans un bridge.
•Configuration par défaut sur les routeurs
SOHO le port Wireless et ether2 sont dans le
pont
•Ether2-5 sont mis ensemble dans un switch.
Ether2 est le maitre, 3-5 esclaves. La vitesse de
commutation cable utilisant le chip switch

122
 Pont ‘Bridge’
•Il est possible d’enlever la configuration
maitre/esclave et utiliser un pont en place
•Le chip du commutateur ne sera pas utilisee
dans ce cas, Il y a grande usage du CPU
•Large controle – possibilité d’utiliser ‘IP
firewall’ pour les ports du bridge.

123
 Bridge
•En raison des limites de standard 802.11, les
clients sans fil (mode: Station) ne supportent pas
le pontage
•RouterOS implémente plusieurs modes pour
surmonter cette limitation

124
 Pont en sans fil

•station bridge - RouterOS au

RouterOS

•station pseudobridge - RouterOS

et autre

•station wds (Wireless Distribution

System) – RouterOS au RouterOS
TI
125
 Pont en Sans fil
•Pour utiliser station bridge, ‘Bridge
Mode’ doit etre activer sur le AP

126
 Pont en Sans fil
• Pour utiliser le WDS il doit etre activee sur le AP
• Le mode sans fil reste ap bridge
• WDS Mode: dynamic mesh
• Le pont WDS par Defaut – interface du pont aux
quelles les clients seront connectés

128
 Pont
• Nous allons créer un grand réseau en
reliant par le pont l’interface Ethernet
local avec l’interface sans fil (Internet)
• Tous les ordinateurs portables seront
dans le même réseau
• Remarque: soyez prudent lorsque vous
pontez les réseaux!
• Créez une sauvegarde (backup) avant de
commencer ce LAB!
129
 Pont
• Changer le sans fil en mode station bridge
• Desactiver le serveur DHCP
• Ajouter l’interface sans fil dans l’interface du
pont ‘bridge-local’ en tant que port

130
 Pont
Configurer le
mode en
station bridge

Desactiver
Le serveur DHCP

131
Pont

132
 Bridge
• Renouveler l'adresse IP de votre
ordinateur portable
• Vous devez recevoir l’adresse IP du
routeur du formateur
• Demandez à votre voisin l’adresse IP de
son ordinateur portable et essayer de le
pinger
• Votre routeur est maintenant un pont
transparent

133
 Le parfeu du pont ‘Bridge’

•L’interface bridge du RouterOS est capable de

prendre en charge le firewall
•Les Traffic qui tranversent le bridge peuvent
etre traités par le firewall
•Pour activer: ‘Bridge → Settings → Utiliser IP
Firewall

135
Firewall du pont ‘Bridge’

136
 Pont
• Restaurer la configuration de votre
routeur à partir de la sauvegarde(backup)
que vous avez créé avant le LABO
du pontage Ou restaurer la configuration
précédente à la main

137
Résumé
Module 3
Certified Network Associate
(MTCNA)

Module 4
Routage (Routing)

139
 Routage (Routing)
• Fonctionne au niveau de la couche
Réseau(L3) du protocole OSI
• Les règles de routage du RouterOS
définissent vers où les pacquets devront
etre envoyé

IP → Routes

140
 Routage (Routing)
• Dst. Address: les réseaux qui devront être
atteint
• Gateway: l’adresse IP du prochain routeur pour
anteindre la destination.

IP → Routes
141
Nouvelle Route Static

IP → Routes

142
 Routage (Routing)
• Vérifie le gateway - chaque 10 sécondes
envoie soit la requette echo ICMP (ping) ou la
requette ARP.
• Si un certain nombre de route utilise la
même passerelle (gateway) et l’un a l’option
‘check-gateway’ activée, toutes les routes
seront soumises au comportement de check-
gateway

143
 Routage (Routing)
• Si deux ou plusieurs routes pointent vers
la même adresse, la plus précise sera
utilisée
• Dst: 192.168.90.0/24, gateway: 1.2.3.4
• Dst: 192.168.90.128/25, gateway:
5.6.7.8
• Si un paquet doit être envoyé à
192.168.90.135, le gateway 5.6.7.8 sera
utilisé
144
 Passerelle par Defaut
• Passerele par Defaut : Un routeur (saut
prochain) où tout le trafic pour lequel il
n'y a pas de destination spécifique
définie sera envoyé
• Il se distingue par le réseau de
destination 0.0.0.0/0

145
 Passerelle par Défaut
• Actuellement, la passerelle par défaut
de votre routeur est configuré
automatiquement via DHCP-Client
• Désactiver "Ajouter Route par défaut»
dans les paramètres DHCP client
• Vérifiez la connexion à Internet (ne
fonctionne pas)

146
 Passerelle par défaut

• Ajouter la passerelle par défaut

manuellement (le routeur du formateur)
• Vérifiez que la connexion à l'Internet est
disponible

147
 Routes dynamiques
• Routes avec des drapeaux DAC sont
ajoutés automatiquement
• Intinéraire DAC provient de la
configuration d'adresse IP

IP → Addresses

IP → Routes
148
 Drapeaux de Route
• A - actif
• C - connecté
• D - dynamique
• S - statique

IP → Routes
149
 Routage statique
• La route statique définit comment
atteindre un réseau de destination
spécifique
• Passerelle par défaut est aussi une route
statique. Il dirige tout le trafic vers la
passerelle

150
 Routage statique
• Le but est de faire un ping sur le laptop de
votre voisin
• La route statique sera utilisée pour atteindre
cet objectif
• Demandez à votre voisin l'adresse IP de son /
son interface sans fil
• Et l'adresse de sous-réseau de son réseau
interne(192.168.XY.0/24)

151
 Routage statique
• Ajouter une nouvelle règle de route
• Configurez Dst. Address – l’adresse du
réseau local de votre voisin (. Par
exemple 192.168.37.0/24)
• Configurez le Gateway - l'adresse de
l'interface sans fil de votre voisin (. Par
exemple 192.168.250.37)
• Maintenant, vous devriez être en mesure
de faire un ping ordinateur portable de
votre voisin
152
 Routage statique
• Faites équipe avec 2 de vos voisins
• Créer une route statique vers le portable de
votre voisin (A) via le routeur de l'autre voisin
(B)
• Demandez à votre voisin B de faire une route
statique vers un ordinateur portable du voisin
A
• Faites le ping de l’ordinateur portable de votre
voisin A

153
 Routage statique
Créer une route
Laptop du
vers le laptop A
Routeur du
Voisin A voisin A via un routeur B

Votre laptop Votre routeur

Class AP

Laptop du Routeur du
voisin B voisin B
154
 Routage statique
• Facile à configurer sur un petit réseau
• Limite l'utilisation des ressources des
routeurs
• Ne respecte pas bien l’échelle de réseau
• La configuration manuelle est nécessaire
chaque fois qu'un nouveau sous-réseau
doit être atteint

155
Résumé
Module 4

156
Certified Network Associate
(MTCNA)

Module 5
Sans fil

157
 Sans fil
• MikroTik RouterOS fournit un support
complet pour les normes de réseau sans
fil IEEE 802.11a / n / ac (5GHz) et 802.11b
/ g / n (2.4GHz)

158
 Normes sans fil
IEEE Standard Frequency Speed

802.11a 5GHz 54Mbps

802.11b 2.4GHz 11Mbps

802.11g 2.4GHz 54Mbps

802.11n 2.4 and 5GHz Up to 450 Mbps*

802.11ac 5GHz Up to 1300 Mbps*

Selon le modèle Routerboard

159
 Canaux de 2.4GHz

• 13x 22 canaux MHz (la plupart du monde)

• 3 canaux qui ne se chevauchent pas (1, 6, 11)
• 3 Les AP peuvent occuper la même zone sans
interférer

160
 2.4GHz Channels

• US: 11 canaux, 14 uniquement au Japon

• Largeur de canal : 802.11b 22MHz, 802.11g
20MHz, 802.11n 20/40MHz de large

161
 5GHz Channels
•RouterOS offre une gamme complète de
fréquences 5GHz
•5180-5320MHz (canaux 36-64)
•5500-5720MHz (canaux 100-144)
•5745-5825MHz (canaux 149-165)
•Varie selon la réglementation du pays
162
Les canaux de 5GHz
IEEE Standard Channel Width
802.11a 20MHz
802.11n 20MHz
40MHz
802.11ac 20MHz
40MHz
80MHz
160MHz

163
 Regulations du pays

•Passez en «Mode avancé» et sélectionnez

votre pays à appliquer les règlements
164
 Règlement pays
•Dynamic Frequency Selection (DFS) est une
fonctionnalité qui est destiné à identifier les
radars lors de l'utilisation de la bande 5GHz et
choisir un autre canal si un radar est trouvé
•Certaines chaînes ne peuvent être utilisés
lorsque DFS est activé (dans l'UE: 52-140,
États-Unis: 50-144)

165
 Règlement pays
• Le mode DFS radar detect sélectionnera
un canal avec le plus faible nombre de
réseaux détectés et l'utilise si aucun
radar n’est détecté sur lui pendant 60 séc
• Passez en «Mode avancé» pour activer le
DFS

Wireless
166
 Nom de Radio
•Le "nom" de Interface sans fil
•RouterOS-RouterOS seulement
•Peut être vu dans les tables sans fil

167
 Nom de Radio
•Le "nom" de Interface sans fil
•RouterOS-RouterOS seulement
•Peut être vu dans les tables sans fil

Wireless → Registration

168
 Nom de Radio
• Définissez le nom de la radio de votre
interface sans fil comme suit: Votre
numéro (XY) _VotreNom

• Par exemple: 13_JohnDoe

169
 Chaînes sans fil
•802.11n introduit le concept de MIMO
(Multiple In Multiple Out )
•Envoie et reçeption des données à l'aide
de plusieurs radios en parallèle
•802.11n avec une chaîne (SISO) ne peut
atteindre 72.2Mbps (sur les cartes
existantes 65Mbps)

170
 Tx Power
• Permet de régler la puissance
d'émission de la carte sans fil
• Le changer à all rates fixed et ajuster
la puissance

Wireless → Tx Power

171
 Tx Power
• Note on implementation of Tx Power on
Wireless
card
Enabled
Chains
Power per Chain Total Power

802.11n
RouterOS 1 Equal to the selected Equal to the selected
Tx Power Tx Power
2 +3dBm

3 +5dBm

802.11ac 1 Equal to the selected Equal to the selected

Tx Power Tx Power

-3dBm -3dBm
Equal to the
-5dBm -5dBm selected Tx Power

172
 La sensibilité Rx
•la sensibilité du récepteur est le niveau
de puissance le plus bas auquel l'interface
ou la radio est capable de détecter un
signal,
•Lorsque l'on compare RouterBOARDS
cette valeur doit être prise en compte en
fonction de l'utilisation en vue,
•Plus petit seuil de sensibilité en Rx
signifie une meilleure détection de signal,

173
Réseau sans fil
AP du formateur

stations sans fil

174
 Station Sans Fil
•Station sans fil est client (ordinateur
portable, téléphone, routeur)
•Sur RouterOS le mode station sans fil
qui existe

175
 Station Sans Fil
•Configurer l’interface
mode=station
•Selectionner la bande
•Configurer le SSID (ID
réseau sans fil)
•La fréquence est
sans importance pour
le client, utiliser scan-list

176
 Securité
•Seuls WPS (WiFi Protected Access) ou
WPA2 doit être utilisé
•WPA-PSK ou WPA2-PSK avec le
cryptage AES-CCM
•AP du formateur utilise déjà WPA-PSK /
WPA2-PSK

177
 Securité
• Les deux clés WPA et
WPA2 peuvent être
spécifiées pour
permettre la
connexion de
périphériques qui ne
prennent pas en
charge WPA2
• Choisissez la clé
forte! Wireless → Security Profiles

178
 Connect List
• Règles utilisées par la station pour
sélectionner (ou ne pas sélectionner) un AP

Wireless → Connect List

179
 Connect List
•Actuellement votre routeur est
connecté à l'AP de classe
•Créer une règle pour interdire la
connexion à l'AP de classe

180
 Access Point
• Configurer
l'interface en
mode = pont ap
• Sélectionnez la
bande
• Configurer la
fréquence
• Mettre le SSID (ID
de réseau sans fil)
• Définir le profil de
sécurité 181
 WPS
•WiFi Protected Setup (WPS) est une
fonction pour un accès pratique au WiFi
sans avoir besoin d'entrer le mot de passe
•RouterOS prend en charge les deux
modes WPS acceptent (pour AP) et les
client WPS (pour la station)

182
 WPS Accept
•Pour permettre facilement l'accès des
invités (clients) à votre point d'accès WPS, le
bouton d'acceptation peut être utilisé
•Lorsqu'il est poussé, il accordera un accès
à se connecter à l'AP pour 2min ou jusqu'à ce
qu'un dispositif (station) se connecte
•Les bouton d'acceptation WPS doit être
poussé chaque fois qu'un nouveau dispositif a
besoin d’être connecté

183
 WPS Accept
•Pour chaque appareil, il doit
être fait qu'une seule fois
•Tous les appareils RouterOS
avec interface WiFi ont bouton
virtuel poussoir WPS
•Certains ont physique, vérifier le
bouton WPS du routeur

184
 WPS Accept
•Le bouton WPS virtuel est disponible
dans QuickSet et dans le menu
d'interface sans fil
•Il peut être désactivé si nécessaire
•Le client WPS est pris en charge par
la plupart des systèmes d'exploitation
•RouterOS ne supporte pas le mode
PIN insécurité
185
 Access Point
• Créez un nouveau profil de sécurité pour
votre point d'accès
• Configurer le mode d'interface sans fil
pour pont ap, configurer le SSID à votre
numéro de classe et le nom, sélectionnez
le profil de sécurité
• Désactiver le client DHCP sur l'interface
sans fil (vous perdrez la connexion
Internet)

186
 Access Point
• Ajouter une interface sans fil dans le pont
Débranchez le câble de l'ordinateur
portable
• Connectez-vous à votre point d'accès sans
fil avec votre ordinateur portable
• Connectez-vous au routeur en utilisant
WinBox et observer la table
d'enregistrement sans fil
• Une fois terminé, restaurer la configuration
précédente
187
 WPS
• Si vous avez un appareil qui prend en
charge le mode client WPS connecter à
votre AP en utilisant WPS acceptent le
bouton sur votre routeur (physique ou
virtuel)
• Consultez les journaux du routeur
pendant le processus
Une fois terminé, restaurer la
configuration précédente

188
 Snooper
•Fait Obtenir un aperçu complet des
réseaux sans fil sur bande sélectionnée
•Interface sans fil est déconnectée
pendant le balayage!
•Utilisez pour décider quel canal choisir

189
Snooper

Wireless → Snooper
190
Table de Registration
• Voir toutes les interfaces sans fil
connectés
• Ou connecté point d'accès si le routeur
est une station

Wireless → Registration

191
 Access List
•Utilisé par point d'accès pour contrôler les
connexions de stations possibles Identifier
adresse MAC du périphérique
•Configurer si la station peut authentifier à l'AP
•Limiter le temps de la journée où il peut se
connecter

192
Liste d’Accès (Access List)

Wireless → Access List

193
 Liste d’Accès (Access List)
•S'il n'y a pas de règles correspondant à
la liste d'accès, les valeurs par défaut de
l'interface sans fil seront utilisés

194
 Registration Table
• La table de registre
peut être utilisé
pour créer de
connexion ou pour
créer la liste d'accès
à partir des clients
actuellement
connectés Wireless → Registration

195
Default Authenticate

196
 Default Authenticate
Default Access/Connect Behavior
Authentication List Entry
✓ + Based on access/connect list settings

- Authenticate

✕ + Based on access/connect list settings

- Don’t authenticate

197
 Default Forward
•Utilisez pour autoriser
ou interdire la
communication entre les
stations
•Activé par défaut
Forwarding peut être
remplacé pour des clients
spécifiques dans la liste
d'accès
198
Module 5
Resumé

200
Certified Network Associate
(MTCNA)

Module 6
Le Parefeu (Firewall)

200
 Pare-feu (Firewall)
•Un système de sécurité de réseau qui
protège le réseau interne de l'extérieur (par
exemple Internet)
•Basé sur de règles qui sont analysées
séquentiellement jusqu'à trouver la
première correspondance
•Les règles de pare-feu RouterOS sont
gérées dans le filtre et les sections NAT

201
 Règles de pare-feu
•Fonctionne sur le principe Si-Alors “If-Then”
•Ordonné en chaînes
•Il y a des chaînes prédéfinies
•Les utilisateurs peuvent créer de nouvelles
chaînes

202
 Firewall Filter
• Il y a trois chaînes par défaut
- entrée pour input (au routeur)
- sortie pour output(à partir du routeur)
- faire suivre forward (par le routeur)

output
input

forward
203
 Actions de Filtre
•Chaque règle a une action - ce qu'il faut faire
quand un paquet est mis en correspondance
•Acceptez
•Déposer (Drop) en silence ou rejeter(Reject) -
goutte et envoyer ICMP message de rejet
•saut / retour / d'une chaîne définie par
l'utilisateur
•Et d'autres - voir page wiki pare-feu (firewall
wiki page)
204
 Actions de Filtre

IP → Firewall → New Firewall Rule (+) → Action

205
 Filter Chains

IP → Firewall
• ASTUCE: pour améliorer la lisibilité des règles
de pare-feu, ordonner les, séquentiellement
en chaînes et ajouter des commentaires
206
 Chain: input
•Protège le routeur lui-même
Soit à partir de l'Internet ou du
réseau local

input

207
 Chain: input
• Ajouter une règle input dans le filtre sur
l'interface de pont pour accepter
l’adresse IP de l'ordinateur portable (Src.
Adresse = 192.168.XY.200)
• Ajouter une règle de filtre d'entrée de
refus (drop) sur l'interface de pont pour
tout le monde

208
 Chain: input

IP → Firewall → New Firewall Rule (+)

209
 Chain: input
• Modifier l'adresse IP de votre ordinateur
portable à l'éntrée statique, attribuer
l’adresse IP 192.168.XY.199, DNS et la
passerelle: 192.168.XY.1
• Déconnectez du routeur
• Essayez de vous connecter au routeur
(pas possible)
• Essayez de vous connecter à l'Internet
(pas possible)

210
 Chain: input
• Bien que le trafic à l'Internet est contrôlé
avec la chaîne pare-feu ‘forward’, les
pages Web ne peuvent pas être ouverts
• POURQUOI? (Réponse à la diapositive
suivante)

211
 Chain: input
• Votre ordinateur portable utilise le routeur
pour résoudre le nom de domaine (DNS)
• Connectez-vous au routeur en utilisant MAC
WinBox
• Ajouter une règle de filtrage entrée accepter
sur l'interface de pont pour autoriser les
requêtes DNS, le port: 53 / udp et placez-le au-
dessus de la règle de de refus (drop)
• Essayez de vous connecter à l'Internet (ca
fonctionne)

212
 Chain: input
• Revenez sur votre ordinateur portable IP
dynamique (DHCP)
• Connectez-vous au routeur
• Désactiver (ou supprimer) les règles que
vous venez d'ajouter

213
 Chain: forward
• Contient des règles qui contrôlent les
paquets qui passent par le routeur ou
autravers du routeur
• Forward contrôle le trafic entre les clients
et l'Internet et entre les clients eux-
mêmes

forward

214
 Chain: forward
• Par défaut le trafic interne entre les
clients connectés au routeur est autorisé
• Le trafic entre les clients et l'Internet
n’est pas limité ou restreint

215
 Chain: forward
• Ajouter une règle de filtre ‘drop’ dans la
chaine forward pour le port http (80 / tcp)
• Dès que le protocole IP est spécificié, alors
les ports peuvent être sélectionnés

IP → Firewall → New Firewall Rule (+)

216
 Chain: forward
• Essayez d'ouvrir www.mikrotik.com (pas
possible)
Essayez d'ouvrir routeur WebFig http:
//192.168.XY.1 (ca passe)
La page Router Web fonctionne parce
qu'il est le trafic allant vers le routeur
(entrée), et non par (passant autravers)

217
Les Ports frequemment utilisés

Port Service
80/tcp HTTP
443/tcp HTTPS
22/tcp SSH
23/tcp Telnet
20,21/tcp FTP
8291/tcp WinBox
5678/udp MikroTik Neighbor Discovery
20561/udp MAC WinBox

218
 Address List
• Liste d'adresses permet de créer une action
en plusieurs adresses IP à la fois
• Il est possible d'ajouter automatiquement
une adresse IP à la liste d'adresses
• Un IP peut être ajouté à la liste en
permanence ou pour une durée prédéfinie
• La Liste d'adresses peut contenir une adresse
IP, plage d'adresses IP ou sous-réseau entier

219
 Address List

IP → Firewall → Address Lists → New Firewall Address List (+)

220
 Address List
• Au lieu de spécifier l'adresse dans
l'onglet Général, passer à Avancé et
choisissez la liste d'adresses (Src. Ou Dst.
En fonction de la règle)

IP → Firewall → New Firewall Rule (+) → Advanced

221
 Address List
• action pare-feu peut être utilisé pour
ajouter automatiquement une adresse à la
liste d'adresses
• De façon permanente ou pendant un
certain temps

IP → Firewall → New Firewall Rule (+) → Action

222
 Address List
• Créer une liste d'adresses pour autoriser
certaines adresses IP, assurez-vous d'inclure
celle de votre ordinateur portable.
• Ajouter une règle de filtre d’entrée
d’acceptation sur l'interface de pont pour le
port WinBox lors de la connexion à partir de
l'adresse qui est inclus dans la liste d'adresses
• Créer un filtre d'entrée de drop pour tout le
monde qui oserait se connecter au WinBox

223
 Firewall Log
• Chaque règle de pare-feu peut être
enregistré lorsque elle remplit la condition
• Peut ajouter préfixe spécifique pour
facilement retrouver des enregistrements
plus tard

224
 Firewall Log

IP → Firewall → Edit Firewall Rule → Action

225
 Firewall Log
• Activer la journalisation pour les règles de
pare-feu qui ont été créés au cours de la liste
d'adresses LAB précèdent
• Connectez-vous à WinBox en utilisant
l'adresse IP autorisée
• Déconnectez vous et changer l'adresse IP de
votre ordinateur portable à un autre qui n’est
pas dans la liste autorisée
• Essayez de vous connecter à WinBox
• Reprendre l'IP et observer les entrées de
journal
226
 NAT
• Network Address Translation (NAT) est un
procédé de modification de l’adresse IP
source ou destination d'un paquet
• Il existe deux types de NAT - 'NAT source
"et" NAT de destination '

227
 NAT
• NAT est généralement utilisé pour fournir
un accès à un réseau externe à partir
d'un réseau qui utilise une adresse IP
privée (src-nat)
• Ou pour autoriser l'accès à partir d'un
réseau externe à une ressource (par
exemple serveur web) sur un réseau
interne (dst-nat)

228
 NAT
Nouvelle
Src address
Src address

Hoste privé
Serveur Publique

229
 NAT
Nouvelle
Adress de
Dst Adresse de Dst

Host Publique
Server dans le
réseau privé

230
 NAT
• Les chaînes Firewall src nat et dst nat sont
utilisées pour mettre en œuvre la
fonctionnalité NAT
• Mêmement comme les règles de filtrage,
elles fonctionnent sur le principe Si-Alors
• Séquentiellement Analysée jusqu'à trouver
la première correspondance donc à remplir la
condition

231
 Dst NAT
Nouvelle Adresse
Adresse de Dst
de Dst
159.148.147.196:80
192.168.1.1:80

Hoste public
Serveur Web
192.168.1.1

232
 Dst NAT

IP → Firewall → NAT → New NAT Rule (+)

233
 Redirect
• Type spécial de dstnat
• Cette action redirige les paquets vers le
routeur lui-même
• Peut être utilisé pour créer des services
de proxy transparents (par exemple DNS,
HTTP)

234
 Redirect
Adress de Dst
Serveur DNS configuré:53

Nouvelle Adresse Dst

Routeur:53
DNS
Cache

235
 Redirect LQB

• Créer une règle redirection de dstnat

pour envoyer toutes les requettes avec le
port de destination HTTP(tcp / 80) au
port du routeur 80
• Essayez d'ouvrir www.mikrotik.com ou
tout autre site Web qui utilise le
protocole HTTP
• Lorsque vous avez terminé désactive
ou supprimer la règle
236
 Src NAT
Adresse Src Nouvelle adresse Src
192.168.199.200 routeur IP

192.168.199.200
Serveur public

• Masquerade est un type spécial de src nat

237
 Src NAT
• l'action src-nat; est destiné à réécrire
l'adresse IP source et / ou le port
• Exemple: deux sociétés (A et B) ont
fusionné. En interne les deux utilisent le
même espace d'adressage (172.16.0.0/16).
Ils mettront en place un segment en
utilisant un espace d'adressage différent
comme un tampon, les deux réseaux
nécessiteront src-nat et les règles de dst-
nat. 238
NAT Comme Aide (Helpers)

• Certains protocoles exigent que l'on

appelle le NAT pour fonctionner
correctement dans un réseau NATé

IP → Firewall → Service Ports

239
 Connexions
• Nouveau - paquet ouvre une nouvelle
connexion
• Établi - paquet appartient déjà à une
connexion connue
Connexion (Ralayer) - paquet est entrain
d'ouvrir une nouvelle connexion, mais il a
une relation avec une connexion déjà
connue
Invalid - paquet ne fait pas partie
d‘aucune des connexions connues
240
Connexions

Invalid Established
New Related

241
 Suivi de connexion
(Connection Tracking)

• Gère des informations sur toutes les

connexions actives
• Doit être activé pour que le NAT et le
filtre puissent fonctionner
• Note: état de connexion ≠ état TCP

242
Connection Tracking

IP → Firewall → Connections

243
 Suivie Rapide
(FastTrack)

• Une méthode pour accélérer le flux de

paquets à travers le routeur
• Une connexion établie ou ralayée peut
être marquée pour la connexion fasttrack
• bypass le pare-feu, suivi de
connexion(connexion tracking), simple
queu et d'autres caractéristiques
• Supporte actuellement que les
protocoles TCP et UDP
244
 FastTrack
Without With

360Mbps 890Mbps

Total CPU usage 100% Total CPU usage 86%

44% CPU usage on firewall 6% CPU usage on firewall

Tested on RB2011 with a single TCP stream

• Pour plus d’info voir FastTrack wiki page

245
Module 6
Resumé

246
Certified Network Associate
(MTCNA)

Module 7
QoS

247
 Qualité de Service
(Quality of Service)

• Le QoS est la performance globale d'un

réseau, en particulier les résultats vus par
les utilisateurs du réseau
• RouterOS met en œuvre plusieurs
méthodes telles que la limitation de
vitesse de circulation (de mise en forme),
la hiérarchisation du trafic et d'autres
QoS

248
 Vitesse limite
(Speed Limiting)

• Le contrôle direct sur le trafic entrant

n’est pas possible
• Mais il est possible de le faire
indirectement par l'abandon de paquets
entrants
• TCP s’adaptera à la vitesse de connexion
efficace

249
 Simple Queue
• Peut être utilisé pour limiter
facilement le débit de données:
• La Vitesse de téléchargement du
client (↓)
• La vitesse en upload du client (↑)
• la vitesse totale du client (↓ + ↑)

250
 Simple Queue

Specifier le client
Specifier Max
Limit pour le client

Queues → New Simple Queue(+)

• Désactiver la règle de pare-feu FastTrack

pour que le Simple Queue fonctionne
251
 Torche
• outil de suivi du trafic en temps réel
Configurer
Configurer
l’ adresse
interface
du laptop

Observe le
traffic

Tools → Torch
252
 Simple Queue
• Créer limite de debit pour votre
ordinateur portable (192.168.XY.200)
• Configurer la debit upload à 128k , 256k
debit en download
• Ouvrir www.mikrotik.com/download et
télécharger la version actuelle RouterOS
Observer la vitesse de téléchargement

253
 Simple Queue
• Au lieu de fixer des limites au client, le
trafic vers le serveur peut également être
étranglé
Mettre le sible en tout

Mettre la Dst. l’ adresse du

serveur

Queues
254
 Simple Queue
• En utilisant l'outil de ping trouver
l'adresse de www.mikrotik.com
• Modifier simple Queue existant pour
modifier la connexion sur le serveur
mikrotik.com
• Télécharger MTCNA aperçu
• Observer la vitesse de téléchargement

255
 Bande passante garantie
(Guaranteed Bandwidth)

• Utilisé pour faire en sorte que le client

obtienne toujours une bande passante
minimum
• le trafic restant sera partagé entre les
clients sur base du premier arrivé,
premier servi
• Contrôlée en utilisant Limit-au paramètre

256
 Bande passante garantie
Guaranteed Bandwidth

Set limit at

Queues → Simple Queue → Edit → Advanced

• Le client aura garanti la bande passante
de 1 Mbps en dowload et en upload
257
 Bande passante garantie
Guaranteed Bandwidth

• Exemple:
• La bande passante totale: 10mbps
• 3 clients ont chacun la bande passante
garantie
• La bande passante restante sera divisée
entre les restes des clients

258
Bande passante garantie
Guaranteed Bandwidth

Queues
Guranteed Actual
bandwidth bandwidth
 Éclater(Burst)
• Utilisé pour permettre des débits
plus élevés pendant une courte
période de temps
• Utile pour le trafic HTTP - pages
Web se chargent plus rapidement
• Pour les téléchargements de
fichiers restrictions limites Max
continuer à s’appliquer

260
 Éclater(Burst)

Configurer la
limit
d’eclatement,
seuil et le temps

Queues → Simple Queue → Edit

 Éclater(Burst)
• Burst Limit - débit de données upload /
download max qui peut être atteint lors de
l'éclatement
• Burst time - temps (sec), sur lequelle le débit
de données moyen est calculé (ce n'est pas le
temps d'éclatement réelle).
• Burst threshold (seuil d’eclatement ) -
lorsque le taux moyen de données dépasse
ou descend en dessous du seuil; l’eclatement
est éteint ou en marche (on).
 Éclatement(Burst)
• Modifier la file d'attente qui a été créé
dans LAB précédente
• Définir le burst limit à 4M pour le
upload et le download
• Set 2M de burst threshold (seuil
d'éclatement) pour le upload et le
download
• Réglez le temps éclater 16s pour le
upload et le download
 Burst
• Ouvrir www.mikrotik.com, observer à
quelle vitesse la page se charge
• Téléchargez la version plus récente de
RouterOS de la page téléchargement
MikroTik
• Observer la vitesse de téléchargement
avec l'outil de la torche
Per Connection Queuing
• Type de Queue pour l'optimisation des
déploiements de grande qualité de
service en limitant par «sous-flux
• Substitu plusieurs Queue (files d'attente)
avec un
• Plusieurs classificateurs peuvent être
utilisés:
• adresse IP source / de destination
• port source / port destination
Per Connection Queuing
•Taux - taux max de chaque sous-
flux de données disponibles
•Limite - taille de la file d'attente
de sous-flux unique (Kio)
•Limite totale - quantité maximum
de données en file d'attente dans
tous les sous-flux (Kio)
Exemple du PCQ
• Objectif: limiter tous les clients à 1 Mbps et
une bande passante de Upload à 1Mbps
• Créer 2 nouveaux types de Queue
- 1 pour Dst Adresse (limite de download)
- 1 pour Scr Adresse (upload limite)
• Configurer les queue pour les interfaces
LAN et WAN
 Exemple de PCQ

Queues → Queue Type → New Queue Type(+)

 Exemple PCQ

interface
WAN

interface
LAN
Queues → Interface Queues
 Exemple de PCQ
• Tous les clients connectés à l'interface
LAN auront la, limite de 1 Mbps en
upload et en download

Tools → Torch
 Example de PCQ
• Le formateur va créer deux files d'attente
de PCQ et limiter tous les clients
(routeurs étudiants) à 512Kbps upload et
download bande passante
• Essayez de télécharger toute nouvelle
version de RouterOS de
www.mikrotik.com et observer la vitesse
de téléchargement avec l'outil de la
torche
Module 7
Résumé
Certified Network Associate
(MTCNA)

Module 8
Tunnels
Protocole Point-to-Point
• Point-to-Point Protocol (PPP) est utilisé
pour établir un tunnel (connexion
directe) entre deux nœuds ou deux
points
• PPP peut fournir une authentification de
connexion, le cryptage et la compression
• RouterOS prend en charge divers tunnels
PPTP tels que PPPoE, SSTP, PPTP et autres
 PPPoE
• Point-to-Point Protocol over Ethernet est
un protocole de couche 2 qui est utilisé
pour contrôler l'accès au réseau
• Fournit l'authentification, le cryptage et
la compression
• PPPoE peut être utilisé pour distribuer
des adresses IP aux clients
 PPPoE
• La plupart des systèmes d'exploitation de
bureau ont le client PPPoE installé par
défaut
• RouterOS supporte à la fois client et
serveur PPPoE(concentrateur d'accès)
 PPPoE Client

Configurer
interface,
service,
username,
password

PPP → New PPPoE Client(+)

 PPPoE Client
• S'il y a plus d'un serveur PPPoE dans un
domaine de diffusion; le nom de service
de domaine doit également être spécifié
• Si non, le client tente de se connecter à
celui qui répond d'abord(le premier)
 PPPoE Client
• Le formateur va créer un serveur PPPoE
sur son / son routeur
• Désactiver le client DHCP sur votre
routeur
• Configurer un client PPPoE sur l'interface
de sortie de votre routeur
• Définir le nom d'utilisateur et le mot de
passe mtcnaclass
 PPPoE Client
• Vérifiez l'état du client PPPoE
• Vérifiez que la connexion à l'Internet est
disponible
• Une fois terminé, désactiver client PPPoE
• Activer client DHCP pour restaurer la
configuration précédente
 IP Pool
• Définit la plage d'adresses IP pour
pourvoir aux machines par les services de
RouterOS
• Ip pool est utilisé par DHCP, PPP et clients
HotSpot
Les adresses sont tirées du pool
automatiquement
 IP Pool

Définissez le nom
de pool et des
plages d'adresses

IP → Pool → New IP Pool(+)

 PPP Profile
• Profil définit les règles utilisées par le
serveur PPP pour ses clients
• Méthode pour définir les mêmes
paramètres pour plusieurs clients
 PPP Profile

Configurer
l’adresse
locale et
distant du
tunnel
Il est souhaitable
d’utiliser le
cryptage

PPP → Profiles → New PPP Profile(+)

 PPP Secret
• Base de données locale de l'utilisateur
PPP
• Nom d'utilisateur, mot de passe et
d'autres paramètres spécifiques
d‘utilisateur peuvent être configurés
• Les restes des paramètres sont appliqués
à partir du profil PPP sélectionné
• paramètres secrets PPP remplacent les
paramètres de profil PPP correspondant
 PPP Secret

Donner le
username, le
password et profile.
Specifier le service
si necessaire

PPP → Secrets → New PPP Secret(+)

 PPPoE Server
• serveur PPPoE fonctionne sur une
interface
• Ne peut pas être configuré sur une
interface qui fait partie d'un pont
• Soit retirer la du pont ou configurer le
serveur PPPoE sur le pont
• Pour des raisons de sécurité, l’adresse IP
ne doit pas être utilisée sur l'interface sur
laquelle le serveur PPPoE est configuré
 PPPoE Server

Configurer le service
name, interface, profile
et les protocols
d’authentication
 PPP Status

• Information concernant
le users courants actifs
PPP

PPP → Active Connections

Point-to-Point Addresses
• Lorsqu'une connexion est établie entre le
client PPTP et le serveur, les adresses / 32
sont affectées
• Pour l'adresse de réseau du client (ou
passerelle) est l'autre extrémité du
tunnel (routeur)
Point-to-Point Addresses
• masque de sous-réseau ne sont pas
pertinentes pour l'utilisation de PPP
d'adressage
• L'adressage PPP permet d'économiser 2
adresses IP
• Si l’ adressage PPP ne sont pas pris en
charge par l'autre appareil, / 30
adressage réseau doit être utilisé
 PPPoE Server
• Configurer le serveur PPPoE sur une
interface de réseau local utilisé (par
exemple eth5) du routeur
• Retirer eth5 du commutateur (set port
maître: aucun)
• Vérifiez que l'interface n’est pas un port
du pont
• Vérifiez que l'interface n'a pas d'adresse
IP
 PPPoE Server
• Créer un pool d'adresses IP, le profil PPP
et secret pour le serveur PPPoE
• Créer un serveur PPPoE
• Configurer client PPPoE sur votre
ordinateur portable
• Connectez votre ordinateur portable au
port du routeur sur lequel le serveur
PPPoE est configuré
 PPPoE Server
• Se connecter au serveur PPPoE
• Vérifiez que la connexion à l'Internet est
disponible
• Connectez-vous au routeur en utilisant
MAC WinBox et observer le statut PPP
• Déconnectez du serveur PPPoE et
connecter l'ordinateur portable vers le
port précédemment utilisé
 PPTP
• protocole de tunnellisation point à point
(PPTP) fournit des tunnels cryptés sur IP
• Peut être utilisé pour créer des
connexions sécurisées entre les réseaux
locaux sur Internet
• RouterOS supporte à la fois client PPTP et
le serveur PPTP
 PPTP
• Utilise le port tcp / 1723 et le protocole
IP numéro 47 - GRE (Generic Routing
Encapsulation)
• aides NAT sont utilisées pour soutenir
PPTP dans un réseau NATé
PPP Tunnel

Tunnel
 PPTP Client

Set name,
PPTP server
IP address,
username,
password

PPP → New PPTP Client(+)

 PPTP Client
• Utilisez Ajouter la Route par Défaut pour
envoyer tout le trafic à travers le tunnel
PPTP
• Utilisez des routes statiques pour
envoyer du trafic spécifique à travers le
tunnel PPTP
• Remarque! PPTP n’est pas considéré
comme sûr - utiliser avec précaution!
• Au lieu d'utiliser SSTP, OpenVPN ou autre
 PPTP Server
• RouterOS fournit une configuration
simple du serveur PPTP à des fins
administratives
• Utilisez QuikSet pour permettre l'accès
VPN
Enable VPN
access and
set VPN
password
 SSTP
• Secure Socket Tunneling Protocol (SSTP
de) fournit des tunnels cryptés sur IP
• Utilise le port tcp / 443 (le même que
HTTPS)
• RouterOS supporte à la fois client SSTP et
serveur SSTP
• client SSTP disponible sur Windows Vista
SP1 et les versions ultérieures
 SSTP
• Ouvrir client Source et l’implementation
du serveur disponible sur Linux
• Comme il est identique au trafic HTTPS,
habituellement SSTP peut passer à
travers les pare-feu sans configuration
spécifique
 SSTP Client

Configurer le
nom, adresse
IP du serveur
SSTP ,
username,
password
 SSTP Client
• Utilisez Ajouter Route par défaut pour
envoyer tout le trafic à travers le tunnel
SSTP
• Utilisez des routes statiques pour
envoyer du trafic spécifique à travers le
tunnel SSTP
 SSTP Client
• Aucun certificat SSL nécessaires pour se
connecter entre deux appareils Routeurs
• Pour se connecter à partir de Windows, un
certificat valide est nécessaire
• Peut être délivré par l'autorité de
certification interne (CA)
 PPTP/SSTP
• Couplez avec votre voisin
• L'un de vous créer serveur PPTP et le
client SSTP, l'autre - serveur SSTP et client
PPTP
• Réutiliser le pool créé précédemment IP,
le profil PPP et secret pour les serveurs
• Création d'une connexion client au
routeur de votre voisin
 PPTP/SSTP
• Vérifiez les règles de pare-feu. Rappelez-
vous que le serveur PPTP utilise le port
tcp / 1723 et le protocole GRE, SSTP Port
tcp / 443
• Ping l’ordinateur portable de votre voisin
à partir de votre ordinateur portable (pas
pinger)
• POURQUOI? (Réponse à la diapositive
suivante)
 PPTP/SSTP
• Il n'y a pas de voies ou route au réseau
interne de votre voisin
• Alors tous deux créer des routes
statiques au réseau des autres, définir
l'interface client PPP comme une
passerelle
• Ping ordinateur portable de votre voisin
de votre ordinateur portable (devrait
ping)
 PPP
• De façon plus détaillée PPPoE, PPTP, SSTP et
d'autres implémentations de serveur de
protocole de tunnel et clients sont traités
dans des cours certification MTCRE et
MTCINE du Mikrotik
• Pour plus d'informations, voir:
http://training.mikrotik.com
Module 8
Summary
Certified Network Associate
(MTCNA)

Module 9
Misc
 RouterOS Tools
• RouterOS fournit divers
utilitaires qui aident à
administrer et à
surveiller le routeur plus
efficacement
 E-mail
• Permet d'envoyer des e-
mails à partir du routeur
• Par exemple, pour envoyer
la sauvegarde du routeur
• http://wiki.mikrotik.com/wiki/Manual:Tools/email Tools → Email
http://wiki.mikrotik.com/wiki/Manual:Scripting
/export file=export
/tool e-mail send [email protected]\
subject="$[/system identity get name] export"\
body="$[/system clock get date]\
configuration file" file=export.rsc
A script to make an export file and send it via e-mail
 E-mail
• Configurez vos paramètres de serveur
SMTP sur le routeur
• Exporter la configuration de votre
routeur
• Envoyez-le à votre e-mail des RouterOS
 Netwatch
• Surveiller l'état des
hôtes sur le réseau
• Envoie ICMP echo
request (ping)
• Peut exécuter un script
quand un hôte devient
inaccessible ou
accessible
Tools → Netwatch
 Ping
• Utilisé pour tester
l'accessibilité d'un hôte sur
un réseau IP
• Pour mesurer le temps
d'aller-retour pour les
messages entre les hôtes
source et de destination
• Envoie des paquets de Tools → Ping
demande d'écho ICMP
 Ping
• Ping l'adresse IP de votre ordinateur
portable à partir du routeur
• Cliquez sur 'New Window' et ping
www.mikrotik.com du routeur
• Observez la différence de temps de
voyage aller-retour
 Traceroute
• L’outil de diagnostic
réseau pour
l'affichage de la
route (chemin) de
paquets à travers le
réseau IP
• Peut utiliser ICMP ou
udp
Tools → Traceroute
 Traceroute
• Choisissez un site Web dans votre pays et
faire une traceroute sur elle
• Cliquez sur 'New Window' et faire un
traceroute vers www.mikrotik.com
• Observer la différence entre les routes
 Profile
• Affiche l'utilisation du
processeur pour chaque
RouterOS processus en cours
d'exécution en temps réel
• idle - ressources CPU
Tools → Profile
inutilisés
• Pour plus d'informations voir
le profil page wiki
 Interface de Monitorage de Traffic

• l'état du trafic en temps

réel
• Disponible pour chaque
interface dans l'onglet de
la circulation
• Peut également être
consultée à la fois WebFig
et de l'interface de ligne
de commande
Interfaces → wlan1 → Traffic
 Torch
• outil de surveillance en temps réel
• Peut être utilisé pour surveiller le flux de
trafic à travers l'interface
• Peut surveiller le trafic classé par nom de
protocole IP, d’adresse source / de
destination (IPv4 / IPv6), le numéro de
port
 Torch

• La circulation de l'ordinateur portable au

Tools → Torch

port HTTPS du serveur mikrotik.com web

 Graphs
• RouterOS peuvent générer des graphiques
montrant la quantité de trafic est passé à
travers une interface ou une file d'attente
• Peut montrer CPU, la mémoire et l'utilisation
du disque
• Pour chaque mesure, il y a 4 graphiques -
quotidienne, hebdomadaire, mensuelle et
annuelle
 Graphs

Régler interface
spécifique pour
surveiller ou laisser
tout, définir l'adresse
IP / sous-réseau qui
sera en mesure
d'accéder aux
graphiques

Tools → Graphing
 Graphs

• Disponible sur le routeur:

http://router_ip/graphs
Graphs
 Graphs
• Activer l'interface, la file d'attente et les
graphiques de ressources sur votre
routeur
• Observez les graphiques
• Télécharger un fichier volumineux à partir
d'Internet
• Observez les graphiques
 Graphs
• Activer l'interface, la file d'attente et les
graphiques de ressources sur votre
routeur
• Observez les graphiques
Télécharger un fichier volumineux à partir
d'Internet
Observez les graphiques
SNMP

Tools → SNMP
 Le Dude
• Demande présentée par MikroTik qui
peut améliorer considérablement la
façon dont vous gérez votre
environnement réseau
• découverte automatique et mise en carte
des dispositifs
• Surveillance des services et alerte
• Gratuit
 Le Dude
• Supports SNMP, ICMP, DNS and TCP
monitoring
• Server part runs on RouterOS (CCR, CHR or
x86)
• Client on Windows (works on Linux and OS
X using Wine)
• For more info see The Dude wiki page
 Le Dude
• Prise en charge SNMP, ICMP, DNS et le
suivi TCP
• une partie du serveur fonctionne sur
RouterOS (CCR, CHR ou x86)
• Client sous Windows (fonctionne sur
Linux et OS X en utilisant Wine)
• Pour plus d'informations voir la page wiki
Dude
Le Dude
 Le Dude
• Télécharger le client Dude pour Windows
à partir de la page
mikrotik.com/download
• Installer et connecter à MikroTik Mec
serveur de démonstration: dude.mt.lv
• Observer Dude
)
Le Dude
 Contactez le Support
• Pour le soutien MikroTik pour être en
mesure d'aider à mieux, quelques
mesures devraient être prises à l'avance
• Créer un fichier de sortie de support
(supout.rif)
 Contactez le Support
• autosupout.rif peut être créé
automatiquement en cas de
dysfonctionnement du matériel
• Géré par processus de surveillance
• Avant d'envoyer à MikroTik, le contenu
du fichier de sortie de support peuvent
être consultés dans votre compte
mikrotik.com
• Pour plus d'informations voir Prise en
charge de fichier de sortie et les pages
wiki Watchdog
 System Logs
• Par défaut RouterOS
enregistre déjà des
informations sur le routeur
• Stocké dans la mémoire
Peut être stocké sur le
disque
• Ou envoyé à un serveur
System → Logging

syslog distant
 System Logs
• Pour activer les
journaux détaillés
(débogage), créer
une nouvelle règle
• Ajouter un sujet de
débogage System → Logging → New Log Rule
 Contactez le Support
• Avant de contacter [email protected]
vérifier ces ressources
• wiki.mikrotik.com - RouterOS
documentation et exemples
• forum.mikrotik.com - communiquer avec
d'autres utilisateurs de RouterOS
• mum.mikrotik.com - MikroTik la page de
réunions de l'utilisateur - présentations
vidéos
 Contactez le Support
• Il est suggéré d'ajouter des commentaires
significatifs à vos règles, articles
• Décrire aussi détaillée que possible afin
que l'équipe de soutien MikroTik puisse
vous aider à mieux
• Inclure votre diagramme réseau
• Pour plus d'informations voir page de
support
Module 9
Somaire
MTCNA
Somaire
MikroTik Certified Courses
Introduction
Course
MTCNA

MTCRE MTCWE MTCTCE MTCUME

MTCINE

Pour plus d’info: http://training.mikrotik.com

 Test de Certification
• Si nécessaire la configuration du routeur
réinitialisé et restaurer à partir d'une
sauvegarde
• Assurez-vous que vous avez un accès au
portail de formation www.mikrotik.com
• Connectez-vous avec votre compte
• Choisir mes sessions de formation
• Bonne chance!