Blog do programador e tecnico em redes ….

Categoria — MikroTik

Flash ActionScript 3 API for Mikrotik RouterOS

O MikroTik, além de configuração de Apoio sobre Telnet / SSH / telnet-MAC. possui um chamado RouterOS API.

Através da API que você puder ler informações, configuração definidas e até mesmo eventos. Por exemplo, a lista a todos os usuários conectados dBm WLAN.

A API é “literatura aberta” e você está convidado a criar diferentes idiomas e bibliotecas para postar em seu site. Eles já têm PHP, Ruby, Perl, Java, implementações, etc, objetivo que eu queria ser capaz de criar um aplicativo do AIR do Flash para exibir e configurar roteadores. Então, eu criei um Flash ActionScript 3 classe para isso.

Abaixo uma classe ActionScript para acesso a API do MikroTik:


// ApiSocket.as
// RouterOS API class
// Author: Haikon Nessjore

package {

import flash.errors.*;
import flash.events.*;
import flash.utils.ByteArray;
import com.adobe.crypto.MD5;
import flash.net.Socket;

public class ApiSocket extends Socket {
static public var RECEIVED:String = "received";
static public var LOGIN:String = "loggedin";
private var cmd:String;
private var doLogin:int;
private var user:String;
private var password:String;
private var returnData:Array;
private var returnPos:int;
private var toread:int;
private var firstRe:int;
private var tag:String;
private var gotDone:Boolean;
private var gotTrap:Boolean;
private var gotFatal:Boolean;

public function ApiSocket(host:String, port:uint) {
super(host, port);
toread = 0;
doLogin = 0;
addEventListener(ProgressEvent.SOCKET_DATA, socketDataHandler);
}

public function login(u:String, p:String) {
doLogin = 1;
user = u;
password = p;
sendRequest("/login");
}

public function sendRequest(... outData):void {
returnData = new Array();
returnPos = 0;
firstRe = 0;
gotDone = false;
gotTrap = false;
gotFatal = false;
tag = "";
cmd = outData[0];
returnData[returnPos] = new Object();

for (var i:int = 0; i < outData.length; ++i) {
var data:ByteArray = new ByteArray();

var len:uint = outData[i].length;

if (len < 0x80)
data.writeByte(len);
else
if (len < 0x4000) {
len |= 0x8000;
data.writeByte(( len >> 8 ) & 0xff);
data.writeByte(len & 0xff);
} else
if (len < 0x200000) {
len |= 0xC00000;
data.writeByte(( len >> 16 ) & 0xff);
data.writeByte(( len >> 8 ) & 0xff);
data.writeByte(len & 0xff);
} else
if (len < 0x10000000) {
len |= 0xE0000000;
data.writeByte(( len >> 24 ) & 0xff);
data.writeByte(( len >> 16 ) & 0xff);
data.writeByte(( len >> 8 ) & 0xff);
data.writeByte( len & 0xff );
} else {
data.writeByte(0xF0);
data.writeByte(( len >> 24 ) & 0xff);
data.writeByte(( len >> 16 ) & 0xff);
data.writeByte(( len >> 8 ) & 0xff);
data.writeByte( len & 0xff );
}

writeBytes(data);
writeUTFBytes(outData[i]);
}
writeByte(0);
flush();
}

private function readResponse():void {
var len:int;

if (toread == 0) {
var len1:uint = readUnsignedByte();

if (len1 == 0) {
if (gotDone || gotTrap || gotFatal) {
if (doLogin == 1) {
if (returnData[0].ret) {
var chal:ByteArray = new ByteArray();
var md5:ByteArray = new ByteArray();

for (var i:int = 0; i < returnData[0].ret.length; i += 2) {
chal.writeByte(int("0x" + returnData[0].ret.substr(i,2)));
}

md5.writeByte(0);
md5.writeUTFBytes(password);
md5.writeBytes(chal);

doLogin++;
// Send challenge response
sendRequest("/login", "=name=" + user, "=response=00" + MD5.hashBytes(md5));
}
} else if (doLogin == 2) {
doLogin = 0;
dispatchEvent(new ApiEvent(ApiSocket.LOGIN, "", returnData, gotDone ? 'done' : (gotFatal ? 'fatal' : 'trap')));
} else {
dispatchEvent(new ApiEvent(ApiSocket.RECEIVED, tag, returnData, gotDone ? 'done' : (gotFatal ? 'fatal' : 'trap')));
}
}

if (bytesAvailable)
readResponse();
else
return;
}

if (len1 >= 0xF0) {
len = readUnsignedByte();
len = ( len << 8 ) + readUnsignedByte();
len = ( len << 8 ) + readUnsignedByte();
len = ( len << 8 ) + readUnsignedByte();
} else
if (len1 >= 0xE0) {
len = (( len1 & 15 ) << 8 ) + readUnsignedByte();
len = ( len << 8 ) + readUnsignedByte();
len = ( len << 8 ) + readUnsignedByte();
} else
if (len1 >= 0xC0) {
len = (( len1 & 31 ) << 8 ) + readUnsignedByte();
len = ( len << 8 ) + readUnsignedByte();
} else
if (len1 >= 0x80) {
len = (( len1 & 63 ) << 8 ) + readUnsignedByte();
} else
len = len1;

toread = len;
}

// Calculate how much data of the full length that is available right now
var slen:int = bytesAvailable > toread ? toread : bytesAvailable;
// Calculate how much data that has to be read later
toread = toread > bytesAvailable ? toread - bytesAvailable : 0;

// Read relevant data
var str:String = readUTFBytes(slen);

if (toread == 0) {
if (str == '!re') {
firstRe++;
if (firstRe > 1) {
returnPos++
returnData[returnPos] = new Object();
}
}
if (str == '!trap')
gotTrap = true;

if (str == '!fatal')
gotFatal = true;

if (str == '!done')
gotDone = true;

// Parse key-value pair
if (str.substr(0,1) == '=') {
var tmpPos:int = str.indexOf('=',1);
var tmpKey:String = str.substr(1,tmpPos-1);
var tmpVal:String = str.substr(tmpPos+1);
returnData[returnPos][tmpKey] = tmpVal;
}

// Reset tag
if (str.substr(0,1) == '!')
tag = "";

// Set tag
if (str.substr(0,5) == '.tag=')
tag = str.substr(5);

// Are there more packets available
if (bytesAvailable)
readResponse();
}

}

private function socketDataHandler(event:ProgressEvent):void {
readResponse();
}
}
}

// ApiEvent.as
//
// RouterOS API Event class
// Author: Håkon Nessjøen
// Date: 2. May 2009
//
package {

import flash.events.Event;

public class ApiEvent extends Event {
static public var RECEIVED:String = "received";
static public var LOGIN:String = "loggedin";

public var data:Array;
public var result:String;
public var tag:String;

public function ApiEvent(type:String, tg:String, dta:Array, res:String){
super(type);
data = dta;
result = res;
tag = tg;
}
}

}

12 / abril / 2012   Sem Comentarios

configurar load balance PCC no MikroTik

ESTRUTURA:

LAN: 10.0.0.0/27
ISP1: 192.168.0.0/27
ISP2: 192.168.3.0/24

ENDERECOS:

/ip address
add address=10.0.0.1/27 broadcast=10.0.0.31 comment=”" disabled=no interface=LAN network=10.0.0.0

add address=192.168.0.10/27 broadcast=192.168.0.31 comment=”" disabled=no interface=ISP1 network=192.168.0.0

add address=192.168.3.1/24 broadcast=192.168.3.255 comment=”" disabled=no interface=ISP2 network=192.168.3.0

ROTAS:

/ip route
add check-gateway=ping comment=”Rota Saida GVT para Load Balance” disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.3.20 routing-mark=ISP2_traffic scope=30 target-scope=10

add check-gateway=ping comment=”Rota saida Velox para Load Balance” disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.0.1 routing-mark=ISP1_traffic scope=30 target-scope=10

add check-gateway=ping comment=”Rota saida Velox/GVT sem Load Balance” disabled=no distance=2 dst-address=0.0.0.0/0 gateway=192.168.0.1,192.168.3.20 scope=30 target-scope=10

NAT:

/ip firewall nat
add action=masquerade chain=srcnat comment=”" disabled=no out-interface=ISP1

add action=masquerade chain=srcnat comment=”" disabled=no out-interface=ISP2

MANGLE:

/ip firewall mangle
add action=mark-connection chain=input comment=”Marca Conexoes de entrada para que voltem pelo mesmo link” disabled=no in-interface=ISP1 new-connection-mark=ISP1_conn passthrough=yes

add action=mark-connection chain=input comment=”" disabled=no in-interface=ISP2 new-connection-mark=ISP2_conn passthrough=yes

add action=mark-connection chain=output comment=”Inicia o balance” connection-state=new disabled=no dst-address=!10.0.0.0/27 new-connection-mark=ISP1_conn passthrough=yes per-connection-classifier=both-addresses:2/0

add action=mark-connection chain=output comment=”" connection-state=new disabled=no dst-address=!10.0.0.0/27 new-connection-mark=ISP2_conn passthrough=yes per-connection-classifier=both-addresses:2/1

add action=mark-routing chain=output comment=”Retorna as conexoes marcadas no inicio, pelo mesmo link que entraram” connection-mark=ISP1_conn disabled=no new-routing-mark=ISP1_traffic passthrough=yes

add action=mark-routing chain=output comment=”" connection-mark=ISP2_conn disabled=no new-routing-mark=ISP2_traffic passthrough=yes

add action=mark-connection chain=prerouting comment=”Load Balance (PCC)” disabled=no dst-address-type=!local in-interface=LAN new-connection-mark=ISP1_conn passthrough=yes per-connection-classifier=both-addresses:2/0

add action=mark-connection chain=prerouting comment=”" disabled=no dst-address-type=!local in-interface=LAN new-connection-mark=ISP2_conn passthrough=yes per-connection-classifier=both-addresses:2/1

add action=mark-routing chain=prerouting comment=”Conexoes do load balance para as novas tabelas do PCC” connection-mark=ISP1_conn disabled=no in-interface=LAN new-routing-mark=ISP1_traffic passthrough=yes

add action=mark-routing chain=prerouting comment=”" connection-mark=ISP2_conn disabled=no in-interface=LAN new-routing-mark=ISP2_traffic passthrough=yes

23 / maio / 2011   Sem Comentarios

VPN com Mikrotik

VPN com Mikrotik

Uma Rede Particular Virtual (Virtual Private Network – VPN)é uma rede de comunicações privada normalmente utilizada por umaempresa ou um conjunto de empresas e/ou instituições, construída emcima de uma rede de comunicações pública (como por exemplo, a Internet). O tráfego de dados é levado pela rede pública utilizando protocolos padrão, não necessariamente seguros.

Criação de VPN entre matriz e filial de uma empresa usando servidores Mikrotik nas duas pontas.

Levando em consideração a seguinte estrutura:

Matriz:

* Rede Local: 192.168.0.X/24
* Ip local do Servidor: 192.168.0.1
* Ip Internet do Servidor: 201.200.200.200

Filial:

* Rede Local: 192.168.10.X/24
* Ip local do Servidor: 192.168.10.1
* Ip Internet do Servidor: 189.50.1.200

VPN:

* Faixa IPs: 10.0.0.X/24

Configurações
Partindo do ponto de que os dois servidores já estão devidamente configurados e navegando na Internet repassando a navegação para redeInterna e seus clientes via NAT, iremos configurar o Server VPN namatriz.

Antes de mais nada, devemos habilitar duas opções no menu Ip> firewall > Service Ports, clique com o botão direito eselecione enable em “GRE” e “PPTP”.

Abra o servidor Mikrotik pelo winbox, acesse o menu ppp. Naprimeira guia Interfaces clique na opção PPTP Server marque a opção enable.

Na segunda guia, “secrets”, crie um usuário para conectar ao Server pela VPN:

Usuário: teste
Senha: teste
Local address: 10.0.0.1
Remote address: 10.0.0.2

Dessa forma seu servidor estará preparado para ouvir e autenticar requisições PPTP. Ainda falta configurar as rotas nesseservidor para que as máquinas internas possam ver a outra rede e vice-versa. Vá em Ip > routes e crie as duas rotas abaixo:

Primeira Rota: 10.0.0.0/24 > gateway 192.168.0.1
Segunda Rota: 192.168.10.0/24> Gateway 10.0.0.2

A rota 10.0.0.0/24 apontando para o gateway 192.168.0.1 indicaque a rede usada pela vpn será roteada pelo ip 192.168.0.1 que é daplaca interna do servidor e a rota 192.168.10.0/24 indica que a rede interna do servidor da filial será roteada pelo ip remoto que o servidor da filial receberá quando conectar.

Configuramos o servidor da matriz, agora vamos para o servidor da Filial:

Vá em PPP, na aba Interfaces crie o usuário para se conectar conforme abaixo:

Server: 201.200.200.200
user: teste
password: teste

Clique em ok e logo o usuário já se conectará ao outro servidor, dessa forma você já poderá testar do próprio servidor Mikrotik se está pingando para o IP de alguma maquina na rede internada matriz.

Para que suas máquinas na Filial com a faixa 192.168.10.X possam acessar as máquinas da matriz você terá que criar a mesma estrutura de rotas que foi criada para na matriz só que direcionandopra sua rede interna, abaixo:

Primeira Rota: 10.0.0.0/24 > gateway 192.168.10.1
Segunda Rota: 192.168.0.0/24> Gateway 10.0.0.1

Bom pessoal, com isso estaremos com a vpn funcionando nos dois pontos caso queiram adicionar mais pontos é só seguir o mesmo raciocínio. Outra coisa, você pode também criar um usuário para acessarde qualquer máquina Windows diretamente em rede assistente para novas conexões e marcar a opção conectar-me a uma vpn.

14 / novembro / 2009   Sem Comentarios

VRRP no MikroTik

A execução virtual do protocolo da redundância do router (VRRP). O protocolo de VRRP é usado para assegurar o acesso constante a alguns recursos. Dois ou mais routeres (consultados como routeres de VRRP neste contexto) criam o conjunto disponível da altamente – (igualmente consultado como routeres virtuais) com falha dinâmica sobre. Cada router pode participar em não mais de 255 routeres virtuais por a relação. Muitos routeres modernos suportam este protocolo.As instalações da rede com conjuntos de VRRP fornecem a disponibilidade elevada para routeres sem usar certificados.

Descrição

O protocolo virtual da redundância do router é um protocolo da eleição que forneça a disponibilidade elevada para routeres. Um número de routeres podem participar em uns ou vários routeres virtuais. Uns ou vários IP address podem ser atribuídos a um router virtual. Um nó de um router virtual pode estar em um dos seguintes estados:

  • Estado MASTER, quando o nó responder a todos os pedidos aos IP address do exemplo. Pode somente haver um nó MESTRE em um router virtual. Este nó emite pacotes da propaganda de VRRP a todos os routeres alternativos (que usam o endereço do multicast) cada ocasionalmente (ajuste na propriedade do intervalo).
  • Estado BACKUP, quando o router de VRRP monitorar a disponibilidade e o estado do router mestre. Não responde a nenhuma pedidos aos IP address do exemplo. Deve dominar tornado não disponível (se três pacotes seqüenciais de VRRP são perdidos pelo menos), o processo eleitoral acontece, e o mestre novo é proclamado baseou em sua prioridade. Para mais detalhes em routeres virtuais, veja RFC2338.

Obs:

VRRP não trabalha atualmente em relações de VLAN, porque é impossível ter o MAC address de uma relação de VLAN diferente do MAC address da relação que física é colocar sobre.

VRRP Routers

Sub-menu em nível: vrrp de /ip

Descrição

Um número de routeres de VRRP podem dar forma a um router virtual. O número máximo de conjuntos em uma rede é 255 cada que têm um VRID original (identificação virtual do router). Cada router que participa em um conjunto de VRRP deve tê-lo jogo de prioridade a um valor válido.

authentication (nenhuma | simples | ah; defeito: nenhuns) – método de autenticação usar-se para pacotes da propaganda de VRRPnone – nenhuma autenticação
simple – autenticação do texto liso
ah – encabeçamento da autenticação usando o algoritmo HMAC-MD5-96
interface (nome) – nome que da relação o exemplo está funcionando sobre

interval (inteiro: 1..255; defeito: 1) – intervalo da actualização de VRRP nos segundos. Define como freqüentemente o mestre do conjunto dado emite pacotes da propaganda de VRRP

name (nome) – nome atribuído do exemplo de VRRP

on-backup (nome; defeito: “”) – script para executar quando o interruptor do nó ao estado alternativo

on-master (nome; defeito: “”) – script para executar quando o interruptor do nó para dominar o estado

password (texto; defeito: “”) – a senha exigida para a autenticação dependendo do método usado pode ser ignorada (se nenhuma autenticação usada), corda de texto longa de 8 caráteres (para a autenticação do plain-text) ou corda de texto longa de 16 caráteres (128-bit fecham exigido para AH a autenticação)

preemption-mode (sim | não; defeito: sim) – se a modalidade do preemption está permitidaNo. – um nó alternativo não será elegido para ser um mestre até a falha mestra atual mesmo se o nó alternativo tem uma prioridade mais elevada do que o mestre atual
Yes. - o nó mestre tem sempre a prioridade

priority (inteiro: 1..255; defeito: ) – prioridade 100 do nó atual (prioridade mais elevada do meio dos valores mais elevados) 255 – O RFC exige que o router que possui os IP address atribuídos a este exemplo teve a prioridade de 255

vrid (inteiro: 0..255; defeito: 1) – identificador virtual do router (deve ser original em uma relação)

nos proximos post’s continuo….

13 / novembro / 2009   Sem Comentarios