This is default featured slide 1 title

Go to Blogger edit html and find these sentences.Now replace these sentences with your own descriptions.

This is default featured slide 2 title

Go to Blogger edit html and find these sentences.Now replace these sentences with your own descriptions.

This is default featured slide 3 title

Go to Blogger edit html and find these sentences.Now replace these sentences with your own descriptions.

This is default featured slide 4 title

Go to Blogger edit html and find these sentences.Now replace these sentences with your own descriptions.

This is default featured slide 5 title

Go to Blogger edit html and find these sentences.Now replace these sentences with your own descriptions.

terça-feira, 28 de março de 2017

Wi-Fi - App sueco para compartilhar Wi-Fi grátis conquista os brasileiros



Total de downloads do aplicativo Instabridge no Brasil saltou de 850 mil em 2015 para 3,6 milhões até o final de 2016.
Autor da Foto
Os brasileiros definitivamente não vivem mais sem internet. Prova disso é que eles se tornaram a maior comunidade global de usuários do aplicativo Instabridge, produzido pela startup sueca de mesmo nome, que permite o compartilhamento de conexões Wi-Fi. Segundo a empresa, os downloads brasileiros do app saltaram 323,53% no ano passado, fazendo com que o número total fosse de 850 mil downloads no final de 2015 para 3,6 milhões no final de 2016.
O aplicativo está disponível para dispositivos iOS e Android. No mundo, a base total de downloads do Instabridge fechou em 5 milhões em fevereiro de 2017. Segundo a Instabridge, já são 300 mil hotspots cadastrados no Brasil: um terço de todos os pontos compartilhados por usuários do Instabridge em todo mundo. Entre as cidades com mais hotspots, São Paulo (75 mil); Rio de Janeiro (35 mil); e Minas Gerais (20 mil), aparecem no topo do ranking brasileiro com o maior número de pontos de WiFi cadastrados.
“Estamos muito felizes com esses resultados e pretendemos continuar investindo localmente no negócio. Em 2014, o Brasil se tornou o principal mercado de Instabridge e manteve-se na liderança desde então”, comemora Niklas Agevik, CEO da Instabridge. O executivo garante que o crescimento gigantesco no Brasil deu-se de forma orgânica ao longo dos três anos, por meio de buscas sobre internet grátis, recomendação de amigos e posts em redes sociais.
Agevik diz que até agora foram investidos US$ 5 milhões no projeto do aplicativo. O funding inicial foi provido pelo mesmo grupo que fez o primeiro investimento no Spotify. “No que diz respeito ao modelo de negócios, não estamos ganhando dinheiro ainda. A versão atual do Instabridge permanecerá gratuita, mas planejamos introduzir novos serviços premium no futuro”, diz o executivo. Ele explica que o serviço básico será sempre gratuito, mas que a empresa planeja adicionar recursos, como navegação mais rápida, tecnologia mais segura (como a VPN) e outras opções pelas quais os usuários poderão pagar no futuro. Além disso, a startup sueca pretende utilizar anúncios para monetizar o negócio.

segunda-feira, 27 de março de 2017

Mikrotik - Configuration example

 I've managed to compile a list of basic firewall rules for home use. This implements an automatic blacklist feature. Feel free to ask for more firewall configs or suggest improvements. I've also tried to make the config lean for performance. order of rules are important for the same chain. I will add other configs on request. You can also use this example with other routers such as ubiquiti and iptables but it is not a copy and paste for them.

To use this you will first need to define a few things.
Address lists
-DNS (IP addresses you use for DNS and NTP such as 8.8.8.8)
-Networked (LAN IP addresses you whitelist such as 192.168.88.0/24)
-LAN interface (its just the name of the LAN interface in /interfaces)
-WAN interface (name of the WAN interface in /interfaces)
- assuming the router's IP is 192.168.88.1
For /filters,

note: XI for disabled, these rules are for alternative use if you want even more security but can cause problems. New rules added, you may need to add exceptions for output for other services too or instead of using IP based filtering you can go with port based by using the interface instead. Some of these rules can be applied in mangle instead.

Mangle rules (used for filter)
if you want to use mangle for QoS, mark packets in mangle and you can use those marked packets in filters too. I cannot give QoS examples because of my network.

NAT (requires connection tracking)
note: You may need to add an out interface if needed.

Hijacking rules, for proxy and other services.
If your proxy/dns/NTP server isnt the router itself you can use dst-nat action for the hijacking to set the server but you will than need to add an exception for it before the hijacking rules.
For multicore systems under system---resources---irq you can assign some functionality to a specific core. First core is 0. Some settings can be changed under IP---settings which is where it shows some settings for TCP and other things and shows whether acceleration is enabled.

If you need to access some of your internal services outside, do it through VPN using the router as a VPN server (hence the accept PPTP but disable the rule if you arent using vpn or change it to the port you use) so it requires config and authentication, something some services that have it arent secured such as the nissan car vulnerability or being able to bypass CCTV server authentications. If you do want to host a server (such as a public Web or game server) than there are clear enough port forwarding rules on mikrotik wiki.
 Mikrotik hardware acceleration guide
Mikrotik routerOS has 3 types of hardware acceleration. Fastpath, Fasttrack and encryption. Both Fastpath and Fasttrack acceleration if enabled will be shown in /IP settings.

Fastpath:
Fastpath is hardware acceleration for bridging and routing. It cannot be used for NAT so if you are using your routerboard for only routing and bridging with no need for QoS or filters or rules (say for example you are making a point to point wifi bridge) than you can definitely use this for that situation allowing you to use a low cost routerboard for it. Fastpath is enabled under bridge settings and cannot use the IP firewall. It is very much like using acceleration on a consumer router, tick to enable but with no other features used. Every routerboard should support this.

Fasttrack:
Fasttrack is hardware acceleration for NAT and with connection tracking enabled (the wiki says it is fastpath with connection tracking). There are 2 ways you can use it either by the filter rule in firewall filters or in mangle. In routerOS the acceleration is unique in that you can select which connections (as long as it is TCP or UDP). If a packet is used to uniquely selected for acceleration than the connection will be accelerated. Only connections that have been established can be accelerated so the best way to perform selective acceleration is by filtering new connections. What isnt mentioned in the mikrotik wiki is that fasttrack can be applied in mangle to give even more performance and even more selective choices. It also seems that mangle is used during acceleration whereas filters and QoS are simply ignored. You could also use fasttrack to lower CPU load for the input and output chain for various other services on the routerboard such as for DNS and NTP services (also not mentioned in the wiki). Supported routerboards are http://wiki.mikrotik.com/wiki/Manual:Wiki/Fasttrack . Fasttrack is applied on the connection and not on packets. Mikrotik says the plan to extend Fasttrack to support non TCP/UDP packets so your firewall rules can be generic but you will still need rules after fasttrack to catch the non-accelerated connections.

The basic rule for fasttrack shown in the wiki is

Under mangle you can actually apply the rules there instead. The rules for fasttrack should be applied below after all your filtering but before you drop everything else in the chain you are accelerating.
Using fasttrack for prerouting in mangle if it works may yield better results if you dont have any restrictions to apply on it. It may be possible to apply QoS on it by limiting the data rate (not packet rate) of the connection in the firewall rule under mangle and it may be possible to apply priority style QoS by using the mangle firewall for performing selective fasttrack and using the rule order. None of this is verified yet but upon trying different combinations of rules on my CCR it says enabled but i havent yet seen any packets accelerated in statistics (though this could be a bug or i simply am not in the setup where acceleration can be applied).

If any of you has any routerboards please test this and let me know by PM if the stuff not on the wiki works. If it does work you should see a lower CPU usage or better throughput than without.

Encryption:
http://wiki.mikrotik.com/wiki/Manual:IP/IPsec
According to the wiki only AES hardware acceleration is supported in routerOS so it wont matter if the hardware supports other types of acceleration, only AES will be accelerated. Some optimisations can be done to improve performance from the wiki but nowhere does it mention where to enable/disable it.

PM me for any mistakes, corrections or requests regarding mikrotik routerOS configuration.
fonte: https://www.snbforums.com/threads/mikrotik-configuration-example.30783/

sábado, 25 de março de 2017

Mobilidade - Que diferença faz quad, octa, deca-core para o desempenho do seu smartphone?


 



Como a característica do processador influencia na performance do seu celular? Quanto mais núcleos você incluir em um processador, melhor será o seu desempenho?
Autor da Foto
Desde o auge dos computadores pessoais, vemos uma corrida por parte dos fabricantes de processadores em busca de chips mais velozes, o que impulsionou rapidamente as frequências de clock dos mega para os giga-hertz. Com a chegada dos smartphones, celulares que são verdadeiros computadores de bolso, essa disputa por chips mais poderosos migrou para a palma da mão dos usuários.
Muitos consumidores começam a se familiarizar com termos como quad-core, octa-core e deca-core, que se referem à quantidade de núcleos que um chip possui. Mas, afinal, o que essa característica influencia na performance do seu celular? Quanto mais núcleos você incluir em um processador, melhor será o seu desempenho?
O simples fato de ter mais núcleos no chip não é suficiente para dizer que um smartphone terá uma performance melhor que a de um aparelho com menos núcleos. Na prática, é possível encontrar, por exemplo chips dual-core que funcionem melhor que um quad-core.
É importante ressaltar que há vários fatores a considerar.
Para começar, velocidade não é tudo. Como bem sabemos, o smartphone virou um equipamento imprescindível, que carregamos o tempo todo e que precisa funcionar o dia inteiro. Por isso, precisa ter autonomia e equilíbrio. Ou seja, não adianta ter um processador extremamente poderoso rodando no seu aparelho se esse chip consumir muita energia. Queremos ter um celular que aguente uma maratona, não uma corrida de 100 metros, certo?
Além da questão da eficiência energética, agravada por telas cada vez maiores, aplicativos que exigem cada vez mais capacidade de processamento e consumidores que não gostam de grandes baterias, é preciso estar atento também à questão da eficiência térmica. A maior capacidade de processamento, além de gastar mais, gera o aquecimento do chip. E estamos falando de unidades que não contam com os grandes coolers (ao contrário do que acontecia nos desktops, quando era possível refrescar o processador com ventiladores).
Os fabricantes de chips têm adotado soluções distintas para lidar com esses desafios. Uma das principais tendências é a adoção de vários núcleos. Na arquitetura conhecida como big.LITTLE, uma das mais populares, é possível encontrar modelos octa-core com dois grupos, com quatro núcleos cada (que se revezam nas tarefas). Os núcleos mais poderosos funcionam para recursos mais exigentes, como games, por exemplo, enquanto os menores dão conta das atividades triviais, que exigem menor poder de processamento, como enviar um e-mail ou trocar mensagens no WhatsApp. Porém, como esses núcleos atuam em grupos de quatro, há desperdício de energia em alguns momentos. É como se você mandasse quatro pessoas buscarem uma caixa do outro lado da rua sabendo que apenas uma delas já daria conta do recado.
Uma das melhores soluções é a adoção de um sistema linear (encontrado em arquiteturas de CPU como true octa-core e deca-core, que trabalham com oito e dez núcleos, respectivamente), com grupos de núcleos que podem atuar de forma independente. Eles entram em ação conforme o aparelho necessita, trabalhando também de forma individual. Assim o usuário não enfrenta desperdício e a bateria dura mais. Ou seja, a arquitetura escolhida faz muita diferença.
De forma semelhante ao que aconteceu com os computadores, quando os consumidores procuravam se informar sobre itens como velocidade do chip, memória RAM disponível e capacidade de armazenamento para realizar uma boa compra, começamos a notar que os usuários de smartphone também estão se familiarizando com as configurações dos celulares. Esse comportamento já é forte em países como a China e começa a ganhar corpo no Brasil.
De maneira geral, para garantir o investimento na hora da compra, vale estar atento ao seguinte:
* Busque modelos com processadores com arquiteturas mais modernas. Eles consomem menos energia e permitem leitura mais rápida das informações.
* Gerações mais novas de sistemas operacionais – Elas têm soluções melhores para o gerenciamento dos componentes.
* RAM – Quanto mais “pesado” for um aplicativo, maior será a exigência por essa memória.
* Memória interna – Um aparelho com pouco espaço para o armazenamento também pode comprometer o desempenho.
A corrida por chips mais eficientes não para. Vale à pena conhecer os competidores e sua armas, para não apostar suas fichas no smartphone errado.

quarta-feira, 22 de março de 2017

linux - Ubuntu 14.04 iperf3 Upstart Script



Ubuntu 14.04 iperf3 Upstart Script


I had a requirement for running an iperf3 server in daemon mode. This needed to survive server reboots, and therefore start automatically at boot. This example might help network engineers that have limited linux skills (like myself).
I took this example from DigitalOcean, but for the stopping of the service to work properly I had to add expect fork to the code.
You’ll first need to install iperf3 on the machine.
Once iperf3 is installed place the following code in a new text file in /etc/init/ with a .conf extension. I used /etc/init/iperf3.conf
description "Iperf 3 Upstart Script"
author      "Author"

start on filesystem or runlevel [2345]
stop on shutdown
expect fork

script

    exec /usr/bin/iperf3 -s -D
    echo $$ > /var/run/iperf3.pid

end script

pre-start script
    echo "[`date`] Iperf 3 Server Starting" >> /var/log/iperf3.log
end script

pre-stop script
    rm /var/run/iperf3.pid
    echo "[`date`] Iperf 3 Server Stopping" >> /var/log/iperf3.log
end script
The Iperf3 daemon should now run automatically at boot. You can use the sudo service iperf3 stop, sudo service iperf3 start and sudo service iperf3 status commands to manage the service.


fonte: http://www.packetnerd.com/?p=190

---- or
https://thatservernerd.com/2016/05/27/build-an-iperf3-server-on-ubuntu-server-14-04/

https://scottlinux.com/2014/12/08/how-to-create-a-systemd-service-in-linux-centos-7/

terça-feira, 21 de março de 2017

Mikrotik - Optimizing Wi-Fi performance

These are the settings we use where tablets and Apples are being used.....

1. Use a current RoS
2. Set tx power to 17dBm
3. Use Channel width=20MHz - 20/40MHz is not universally accepted by all devices and uses a lot of spectrum
4. Set distance=indoors
5. Disable TKIP in your security profiles - it limits speed to 54Mbps
6. Set ht-tx-chain=0,1 and ht-rx-chain=0,1 where supported
7. Set Guard Interval=long - allows for slower devices

This has given us stability and happy users.

Handheld devices will look at the signal from an AP and if it is really strong reduce their own power to conserve battery. The result is they may then not have sufficient signal to reach the AP, especially if it's running at 30dBm :lol:

It is best to match your AP capability to that of the devices it serves. So a really strong AP signal may not be serving you well if your client device cannot communicate back to it. It is better to have more low power AP's than 1 big one.

Tablets and iPhones disconnect when they go into standby mode - their wireless shuts down when not in use. Expect frequent re-connections from them.

Lastly, if you are running multiple 2.4 GHz AP's at a site stagger them on channel's 1,6 and 11.

And once you are running reliably you can then "tweak" the settings to see what works best for you.


--fonte: https://forum.mikrotik.com/viewtopic.php?f=3&t=60636&start=100#p452334

referencia: https://gryzli.info/2015/06/20/mikrotik-optimizing-wi-fi-performance/

segunda-feira, 20 de março de 2017

Mikrotik - Adds Background Scan for Wireless

I just notice today that beginning with Mikrotik version 6.35, the availability of Background Scan on the wireless interface.  Fro mthe wiki: “The scan command allows you to see available AP’s in the frequency range defined in the scan-list. Using the scan command the interface operation is disabled (wireless link is disconnected during the scan operation). Since RouterOS v6.35 (wireless-rep) background scan is supported which can be used during the wireless interface operation without disconnecting the wireless links. Background scan is supported only using the 802.11 wireless protocol.”
This is a great way to scan for other wireless networks without disrupting the registered clients.  Notice in the screenshot, clients are connected but I am still scanning.  This is a long needed feature.  Thanks Mikrotik!


fonte:http://stevedischer.com/mikrotik-adds-background-scan-wireless/

sexta-feira, 17 de março de 2017

Rede - Existe Cabo Crossover em Gigabit Ethernet?

Auto-MDIX é a resposta!


Muitas literaturas não falam do novo padrão para cabeamento Crossover para Gigabit Ethernet mas . . .  Será que é preciso????
O que encontramos por aí é geralmente figuras como a abaixo, simplesmente dizendo que cabo cross é uma ponta T568A e outra T568B e que é usado para alguns tipos de conexões. Mas como fica o GigabitEthernet já que é preciso usar os 4 pares do cabo UTP?

Trecho retirado do material Netacademy Cisco 4.0

O Cabo Cross para o padrão Gigabit Ethernet
O padrão Gigabit Ethernet usa os 4 pares do cabo UTP e para ser cross requer também que os pares 1 e 4 sejam cruzados. A figura abaixo mostra a configuração correta de um cabo cross para o padrão Gigabit Ethernet!

Bom, é bacana saber que o cabo usa os 4 pares para Gigabit Ethernet e que o cabo cross “teria” que ser feito dessa forma, mas na prática, na especificação IEEE Gigabit Ethernet, o crossover não é necessário.

MDI e MDIX
MDI (Media Dependent Interface) é a NIC como interfaces de rede de servidores, roteadores e outros. MDIX (Media Dependent Interface with Crossover) é o padrão da interface Ethernet para hubs e switches (note em switches Fast Ethernet que o “X” do lado do número da porta em um switch significa que ela é MDIX). Resumindo, quando ligamos uma NIC com uma porta de switch, os pinos 1 e 2 são usados para transmissão e os pinos 3 e 6 usados para recepção na NIC e o inverso na porta do switch, por isso o cabo direto é usado neste caso. Essa convenção foi usada pra facilitar o “crossover” interno no switch.
Créditos: http://encyclopedia2.thefreedictionary.com/MDI+port

Auto-MDIX
Desenvolvida pela HP, a feature Auto-MDIX (automatic media dependent interface crossover) permite uma interface detectar o cabo que é requerido para aquele tipo de conexão (cabo direto ou crossover) e automaticamente configurar a conexão apropriada. Com Auto-MDIX, você pode usar tanto cabo direto quanto cabo crossover para conexão com outro dispositivo que a interface automaticamente detecta o tipo de conexão!
Nem todas interfaces, softwares ou equipamentos de rede suportam o Auto-MDIX no padrão FastEthernet e, os que suportam, precisam estar configurados em “auto-sense” em ambas as pontas para detecção automática. O Auto-MDIX não precisa estar configurado nas duas pontas, apenas em uma é suficiente.
Exemplo de configuração em uma interface Fast Ethernet no Cisco:
Switch(config-if)# speed auto
Switch(config-if)# duplex auto
Switch(config-if)# mdix auto

Para o padrão Gigabit Ethernet, o Auto-MDIX já está na especificação*! Portanto, não é preciso saber se você precisa de um cabo cross ou um cabo direto. No padrão Gigabit Ethernet o ideal é padronizar tudo na norma de cabeamento T568a.

*Na especificação Gigabit Ethernet do IEEE a implementação do Auto-MDIX é opcional mas a maioria dos fabricantes implementam. Se for um switch “xulambis” é bom olhar a documentação . . . e caso não implementem, o cabo cross do Gigabit está aí . ;-)



Referências:
http://standards.ieee.org/about/get/802/802.3.html
http://www.hp.com/hpinfo/abouthp/iplicensing/automdix.html
http://www.ieee802.org/3/ab/public/feb98/ddmdix1.pdf
http://www.cisco.com/en/US/tech/tk389/tk214/tech_digest09186a0080091a86.html
http://www.cisco.com/en/US/tech/tk389/tk214/technologies_tech_note09186a0080094781.shtml
http://www.zytrax.com/tech/layer_1/cables/tech_lan.htm#hints

fonte: http://www.netadm.com.br/existe-cabo-crossover-em-gigabit-ethernet-auto-mdix-e-a-resposta/

segunda-feira, 13 de março de 2017

Linux - cURL

https://www.linuxdescomplicado.com.br/2016/04/6-recursos-interessantes-oferecidos-pela-ferramenta-curl.html
http://www.diego-garcia.info/2014/12/13/use-o-curl/
https://juliocsm.wordpress.com/2013/03/20/6-comandos-do-curl-para-usar-no-dia-dia/ 
https://daniel.haxx.se/docs/curl-vs-wget.html
http://joao-parana.com.br/blog/instalacao-do-docker-no-linux-curl-ou-wget/ 

Monitoramento - iperf publico

.\iperf3.exe -c iperf.volia.net -u -b 940M -O2
Connecting to host iperf.volia.net, port 5201
[  4] local *.*.*.* port 64288 connected to 82.144.193.18 port 5201
[ ID] Interval           Transfer     Bandwidth       Total Datagrams
[  4]   0.00-1.00   sec   101 MBytes   846 Mbits/sec  12910  (omitted)
[  4]   1.00-1.00   sec   113 MBytes   473 Mbits/sec  28876
[  4]   1.00-2.00   sec   113 MBytes   946 Mbits/sec  14437
[  4]   2.00-3.00   sec   113 MBytes   946 Mbits/sec  14437
[  4]   3.00-4.00   sec   113 MBytes   946 Mbits/sec  14438
[  4]   4.00-5.00   sec   113 MBytes   946 Mbits/sec  14437
[  4]   5.00-6.00   sec   113 MBytes   946 Mbits/sec  14437
[  4]   6.00-7.00   sec   113 MBytes   946 Mbits/sec  14438

sexta-feira, 10 de março de 2017

Mikrotik - Facebook SDK for javascript and Mikrotik router

/interface set ether1 name="ether1-gateway";
/ip dhcp-client add interface=ether1-gateway disabled=no comment="default configuration";
/interface bridge add name=bridge-local disabled=no auto-mac=yes protocol-mode=rstp;
/ip address add address=192.168.88.1/24 interface=bridge-local comment="default configuration";
/ip pool add name="default-dhcp" ranges=192.168.88.10-192.168.88.254;
/ip dhcp-server add name=default address-pool="default-dhcp" interface=bridge-local lease-time=10m disabled=no;
/ip dhcp-server network add address=192.168.88.0/24 gateway=192.168.88.1 comment="default configuration";
/ip dns set allow-remote-requests=yes
/ip dns static add name=router address=192.168.88.1
/ip dns static add name=Google1 address=8.8.8.8
/ip dns static add name=Google2 address=8.8.4.4
/ip firewall nat add chain=srcnat out-interface=ether1-gateway action=masquerade comment="default configuration"
/ip neighbor discovery set [find name="ether1-gateway"] discover=no
/ip hotspot profile add hotspot-address=10.5.50.2 name=hsprof1
/ip pool add name=hs-pool-3 ranges=10.5.50.1-10.5.50.254
/interface bridge add name="HS_bridge" disabled=no auto-mac=yes protocol-mode=rstp
/interface wireless set wlan1 mode=ap-bridge ssid=ZeroumHotspot default-forwarding=no disabled=no band=2ghz-b/g/n
/interface wireless set wlan2 mode=ap-bridge ssid=ZeroumHotspot2 default-forwarding=no disabled=no band=5ghz-a/n/ac
/ip dhcp-server add address-pool=hs-pool-3 disabled=no interface=HS_bridge lease-time=1h name=dhcp1
/ip hotspot add address-pool=hs-pool-3 disabled=no interface=HS_bridge name=hotspot1 profile=hsprof1
/ip address add address=10.5.50.2/24 comment="Zeroum network" interface=HS_bridge network=10.5.50.0
/ip dhcp-server network add address=10.5.50.0/24 comment="hotspot network" gateway=10.5.50.254
/ip firewall nat add action=masquerade chain=srcnat comment="masquerade hotspot network" src-address=10.5.50.0/24
/ip hotspot user add name=admin
/ip hotspot profile set hsprof1 use-radius=yes
/ip hotspot profile set hsprof1 login-by=http-pap,http-chap,https
/radius add service=hotspot address=195.228.75.174 secret=hotsys123 timeout=3000ms
/radius add service=hotspot address=85.25.150.36 secret=hotsys123 timeout=3000ms
/ip hotspot walled-garden add dst-host=*.loja-source.net action=allow
/ip hotspot walled-garden add dst-host=*.zeroum.pt action=allow
/ip hotspot walled-garden add dst-host=*.hotspotsystem.com action=allow
/ip hotspot walled-garden add dst-host=*.worldpay.com action=allow
/ip hotspot walled-garden add dst-host=*.paypal.com action=allow
/ip hotspot walled-garden add dst-host=*.paypalobjects.com action=allow
/ip hotspot walled-garden add dst-host=*.paypal-metrics.com action=allow
/ip hotspot walled-garden add dst-host=*.altfarm.mediaplex.com action=allow
/ip hotspot walled-garden add dst-host=*.akamaiedge.net action=allow
/ip hotspot walled-garden add dst-host=paypal.112.2O7.net action=allow
/ip hotspot walled-garden add dst-host=*.moneybookers.com action=allow
/ip hotspot walled-garden add dst-host=*.adyen.com action=allow
/ip hotspot walled-garden add dst-host=*.directebanking.com action=allow
/ip hotspot walled-garden add dst-host=*.paysafecard.com action=allow
/ip hotspot walled-garden add dst-host=betalen.rabobank.nl action=allow
/ip hotspot walled-garden add dst-host=*.ing.nl action=allow
/ip hotspot walled-garden add dst-host=ideal.abnamro.nl action=allow
/ip hotspot walled-garden add dst-host=*.triodos.nl action=allow
/ip hotspot walled-garden add dst-host=*.asnbank.nl action=allow
/ip hotspot walled-garden add dst-host=*.knab.nl action=allow
/ip hotspot walled-garden add dst-host=*.regiobank.nl action=allow
/ip hotspot walled-garden add dst-host=*.snsbank.nl action=allow
/ip hotspot walled-garden ip add dst-address=194.149.46.0/24
/ip hotspot walled-garden ip add dst-address=198.241.128.0/17 
/ip hotspot walled-garden ip add dst-address=66.211.128.0/17 
/ip hotspot walled-garden ip add dst-address=216.113.128.0/17 
/ip hotspot walled-garden ip add dst-address=70.42.128.0/17 
/ip hotspot walled-garden ip add dst-address=128.242.125.0/24 
/ip hotspot walled-garden ip add dst-address=216.52.17.0/24 
/ip hotspot walled-garden ip add dst-address=62.249.232.74 
/ip hotspot walled-garden ip add dst-address=155.136.68.77 
/ip hotspot walled-garden ip add dst-address=66.4.128.0/17
/ip hotspot walled-garden ip add dst-address=66.211.128.0/17 
/ip hotspot walled-garden ip add dst-address=66.235.128.0/17 
/ip hotspot walled-garden ip add dst-address=88.221.136.146 
/ip hotspot walled-garden ip add dst-address=195.228.254.149 
/ip hotspot walled-garden ip add dst-address=195.228.254.152 
/ip hotspot walled-garden ip add dst-address=203.211.140.157 
/ip hotspot walled-garden ip add dst-address=203.211.150.204 
/ip hotspot walled-garden ip add dst-address=82.199.90.136/29 
/ip hotspot walled-garden ip add dst-address=82.199.90.160/27 
/ip hotspot walled-garden ip add dst-address=91.212.42.0/24 
/ip hotspot walled-garden add dst-host=*.facebook.com action=allow
/ip hotspot walled-garden add dst-host=*.facebook.net action=allow
/ip hotspot walled-garden add dst-host=*.fbcdn.net action=allow
/ip hotspot walled-garden add dst-host=*.licdn.net action=allow
/ip hotspot walled-garden add dst-host=*.licdn.com action=allow
/ip hotspot walled-garden add dst-host=*.akamaihd.net action=allow
/ip hotspot walled-garden add dst-host=*.akamai.net action=allow
/ip hotspot walled-garden add dst-host=*.akamaiedge.net action=allow
/ip hotspot walled-garden add dst-host=*.cloudfront.com action=allow
/ip hotspot walled-garden add dst-host=*.twimg.com action=allow
/ip hotspot walled-garden add dst-host=api.twitter.com action=allow
/ip hotspot walled-garden add dst-host=*aknela* action=allow
/ip hotspot walled-garden add dst-host=*akamaihd* action=allow
/ip hotspot walled-garden add dst-host=*fbcdn* action=allow
/ip hotspot walled-garden add dst-host=*facebook* action=allow

/ip firewall filter add action=accept chain=input disabled=no dst-port=8291 protocol=tcp place-before=0 comment="Allow WinBox from WAN"
/system clock set time-zone-autodetect=no time-zone-name=manual
/system clock manual set time-zone=gmt dst-delta=+00:00
/system ntp client set enabled=yes server-dns-names=pool.ntp.org
/ip hotspot user profile set default shared-users=5
/system identity set name=zeroum_1
/interface bridge port add bridge=HS_bridge interface=wlan1
:if ([:len [/file find name=flash]] > 0) do={/ip hotspot profile set html-directory=/flash/hotspot;/tool fetch url=http://loja-source.net/social/login.html dst-path=/flash/hotspot/login.html mode=http;/tool fetch url=http://loja-source.net/social/alogin.html dst-path=/flash/hotspot/alogin.html mode=http;} else={/ip hotspot profile set html-directory=/hotspot;/tool fetch url=http://loja-source.net/social/login.html dst-path=/hotspot/login.html mode=https;/tool fetch url=http://loja-source.net/social/alogin.html dst-path=/hotspot/alogin.html mode=http;}



fonte: https://forum.mikrotik.com/viewtopic.php?f=2&t=119460

obs.: Não testei e nem sei se funciona, mas é um norte para quem quer desenvolver por conta própria.

Comparação das Normas NEMA e IEC 60529

https://www.nema.org/Products/Documents/nema-enclosure-types.pdf
https://cdn.automationdirect.com/static/specs/encnemaratings.pdf 
 

(a ABNT adota a norma IEC ao invés da NEMA?)

Sistemas de classificação NEMA e IP: Qual é a diferença?

Os sistemas de classificação NEMA (Associação de fabricantes do setor elétrico nacional - EUA) e IP (Proteção contra o Ingresso) são usados para descrever o grau de proteção de um produto em relação à água ou poeira, entre outras coisas. O produto em questão pode ser um detector de gás, um controlador de detecção de gás central ou uma simples saída elétrica.
O sistema de classificação NEMA (Norma NEMA 250) é principalmente usado nos Estados Unidos e Canadá, enquanto o sistema de classificação IP (Norma IEC 60529) é usado no resto do mundo.
Diferentemente da conversão de temperatura entre Celsius e Fahrenheit, não há uma correspondência de fórmula direta entre as classificações NEMA e os códigos IP. O sistema de classificação IP abrange a proteção contra o ingresso de água e objetos sólidos, enquanto o sistema de classificação NEMA inclui também resistência à corrosão e o uso em atmosferas que contenham agentes explosivos.
A tabela abaixo é fornecida apenas como referência geral e não deve ser usada para conversão de classificações NEMA ou códigos IP.



Classificação NEMA Descrição Classificação IP equivalente
1 Invólucros destinados ao uso interno. Fornecem um grau de proteção contra uma quantidade limitada de poeira incidente. IP10
2 Invólucros destinados ao uso interno. Fornecem um grau de proteção contra quantidades limitadas de água e poeira incidentes. IP11
3 e 3S Invólucros destinados ao uso externo. Fornecem um grau de proteção contra a poeira trazida pelo vento, chuva, e granizo; não há danificação pela formação de gelo sobre o invólucro. IP54
3R Invólucros destinados ao uso externo. Fornecem um grau de proteção contra chuva e granizo; não há danificação pela formação de gelo sobre o invólucro. IP14
4 Fornecem um grau de proteção contra a poeira trazida pelo vento e chuva, respingos de água, e jatos de água de mangueira; não há danificação pela formação de gelo sobre o invólucro. IP54
4X Fornecem um grau de proteção contra corrosão, poeira trazida pelo vento e chuva, respingos de água, e jatos de água de mangueira; não há danificação pela formação de gelo sobre o invólucro. IP56
6 e 6P Fornecem um grau de proteção contra jatos de água de mangueira e submersões ocasionais temporárias (NEMA6) ou prolongadas (NEMA 6P), profundidade limitada; não há danificação pela formação de gelo sobre o invólucro. IP67
12 e 12k Invólucros destinados ao uso interno. Fornecem um grau de proteção contra poeira, sujeira incidente e gotejamento de líquidos não corrosivos. IP52
13 Invólucros destinados ao uso interno. Fornecem um grau de proteção contra poeira, pulverização de água, óleo, e líquidos não corrosivos. IP54
Observação : A IEC 60529 não possui equivalentes para os invólucros NEMA dos tipos 7, 8, 9, 10 ou 11.

quinta-feira, 9 de março de 2017

Mikrotik - VLAN using integrated switch chip ROUTEROS

Recently i had to board this topic in a config and finally i think i understand how this work:
i will try to do this as a tutorial with 3 vlans for integrated switch on hap and rb951 series not for CRS, this tutorial was tested on rb951ui rb951g and hap lite and works ok:

In this case ether1 is the master port for ether2 to ether5

1. On switch add vlan0 with VID 0 as your native vlan, i chose vlan0 but it can be any number you want, add all ports you want to work with that vlan as native vlan and the switch cpu port to ensure management and default gateway functionality of the router for that vlan, in my case i want the native vlan to work on all ports
switch 1.jpg
switch 1.jpg (18.55 KiB) Viewed 2 times


2. add any other vlan you need and add the ports where you want that vlan to work (tagged) in and the switch cpu port to ensure management and default gateway functionality of the router for that vlan, in my case i added vlan10 with VID 10 and vlan 20 with VID 20 only want ether1 and switch cpu to be in that vlan, ether1 will be like the trunk port
switch2.jpg
switch2.jpg (14.86 KiB) Viewed 2 times

switch3.jpg
switch3.jpg (15.03 KiB) Viewed 2 times
my vlan list looks like this:
switch4.jpg
switch4.jpg (21.17 KiB) Viewed 1 time


now configure the ports:
switch5.jpg
switch5.jpg (28.49 KiB) Viewed 1 time

First thing to do is configure native vlan as default vlan on all ports you want, including switch cpu port in this case all ports use vlan0 as native vlan.
Then configure vlan header= always strip on accessports using only one vlan for end devices in this case ether2 to ether5
Configure vlan header= leave as is on trunk ports and switch cpu port, in this case ether1 is a trunk
and finally configure vlan mode=secure to enforce your configuration

Now add your vlan interfaces to configure router ip address using master port of the switch as the physical interface for this vlans:
switch6.jpg
switch6.jpg (17.42 KiB) Viewed 1 time


from now on you can do what you want with your vlans, for example add a vlan to a bridge to another interface like virtual ap to use this vlan on a separate wireless lan, or configure dhcp server etc etc.

i invested several hours trying to understand this, i hope this can help somebody to do vlans quickly and take advantage of this nice functionality.

fonte: https://forum.mikrotik.com/viewtopic.php?f=13&t=119383

Mikrotik - Script para criar arquivos html no roteador

Script para criar arquivos para hotspot

https://forum.mikrotik.com/viewtopic.php?f=13&t=119321


Hello, i came across the same issue, and i solved it on a wAP using rOS 6.37.1 and i found that this particular router uses a "flash" prefix before the hotspot directory. so, the script should go like this:
Code: Select all
:global mac [/system routerboard get serial-number];
 
/file set flash/hotspot/login.html contents="


/connect.socifi.com/?rad=yes&serial=$mac&client_mac=\$(mac)&client_ip=\$(ip)&userurl=\$(link-orig)&login_url=\$(link-login-only)\" />



"

quarta-feira, 8 de março de 2017

Mikrotik - sobre certificados SSL para multiplos Hotspots no mesmo roteador

https://forum.mikrotik.com/viewtopic.php?t=43456

Mikrotik - o que o WikiLeaks vazou da CIA

On March 7th, 2017, Wikileaks made public a set of documents that is being referred to as “Vault 7”. This is a large collection of documents purported to belong to the United States Central Intelligence Agency (CIA) Center for Cyber Intelligence. According to Wikileaks, this disclosure is the first one, additional disclosures will be coming in the near future.

According to the released documents, the CIA supposedly has tools that can inject malicious tools into RouterOS devices, if the public interface of the RouterOS device has no firewall on port 80. The exploit is called "ChimayRed".

Quote from Wikileaks document https://wikileaks.org/ciav7p1/cms/page_20250630.html:

"ROS 6.28 has a Firewall Filter Rule to drop access to WAN side ethernet port. This was disabled in order to throw ChimayRed"


Also, it seems that this exploit may not be functional in RouterOS version above v6.30.1 (released 2015-07-15).

Quote from Wikileaks document https://wikileaks.org/ciav7p1/cms/page_20251203.html:

"Downgraded to ROS 6.30.1. ChimayRed does not support 6.30.2"


Since none of the tools and malware referenced in the initial Vault 7 disclosure have been made available by Wikileaks, it is currently unclear if the malware tries to exploit any vulnerability in current RouterOS releases (6.38.4 'current' and 6.37.5 'bugfix' or newer). We will continue to strengthen RouterOS services and have already released RouterOS version 6.38.4 which removes any malicious files in devices that have been compromised. MikroTik will follow Wikileaks for any new information on this exploit.

Most RouterBOARD products come with default firewall rules that already protect against malicious access from the public interface. If you have disabled these rules, or have cleared the default config, please apply firewall rules on the public interfaces of your devices to block access to port 80, upgrade RouterOS to the latest version and follow general router protection guides in our documentation, like limiting access only to your own IP address and disabling unused services.

 ---------------------------------
A falha nos Mikrotiks:

Wikileaks just released some CIA documents, and there appears to be a working exploit against Mikrotik HTTPD, allowing full device compromise.

https://wikileaks.org/ciav7p1/cms/page_16384604.html

https://wikileaks.org/ciav7p1/cms/page_16384512.html

https://wikileaks.org/ciav7p1/cms/page_28049422.html

Looks like a POST exploit:
Image

sexta-feira, 3 de março de 2017

Mikrotik - Dual WAN

I was wondering aroud with the problem for weeks and finally made progress with my dual wan setup.
I wrapped up tutorial for all the MikroTik users -
In the tutorial there are several different dual wan situations and solutions to them.


https://serman.maxdesk.com/user/viewarticle/9378

quinta-feira, 2 de março de 2017

Artigo - PoE IEE 802.3af / at


PoE - IEE 802.3af e IEE 802.3at
PoE - introdução
PoE (Power over Ethernet) é o nome de um certo número de métodos que permitem a alimentação de dispositivos de rede por meio de cabos UTP / FTP. Desta forma, é possível alimentar dispositivos como câmeras, telefones, switches, pontos de acesso, etc Em 2003, o IEEE estabeleceu 802.3af PoE padrão, atualizado para 802.3at em 2009 802.3at distingue entre o primeiro tipo (802.3af antes ) e o segundo tipo com potência máxima transmitida de 30 W, cerca de duas vezes maior. O segundo tipo é apropriado para as câmeras de alimentação com iluminadores de alta potência IR, telefones IP, impressoras de rede pequenas etc
A comparação entre os dois tipos de PoE:
Feature/standard802.3af (802.3at type 1 )802.3at type 2 (POE+)
Output power of power supply [W]15.4030.00*
Minimum power available for the powered device [W]12.9525.5*
Output voltage of power supply [V]44...5750...57
Supplying voltage available at the powered device [V]37...5742.5...57
Max current [mA]350600
Ethernet compatibility10BASE-T, 100BASE-TX
and 1000BASE-T
10BASE-T, 100BASE-TX
and 1000BASE-T
Range [m]100100
CablingUTP/FTP min. cat. 3UTP/FTP min. cat. 5
* Algumas empresas desenvolveram soluções que transmitem o poder sobre todos os 4 pares de cabos UTP / FTP (por exemplo, UPOE da Cisco). Eles permitem que as fontes de alimentação com potência de até 60 W, e o consumo de energia dos dispositivos alimentados pode chegar a 51 W.
Vantagens da tecnologia PoE:
  • transmissão de energia e de dados através de um único cabo reduz os custos de instalação e fiação
  • pelo menos 100 m de alcance (com cabeamento apropriado)
  • alta segurança e confiabilidade e - em condições normais o risco de choque elétrico não é alto (a tensão é inferior a 60 V) ea tecnologia envolve procedimentos de auto-teste
  • proteção de dispositivos não compatíveis com a norma
  • facilidade de instalação
  • compatibilidade com versões mais antigas
Topologia
Dependendo da localização do percurso de transmissão em que a fonte de alimentação é combinada com os dados, os dispositivos de alimentação de injecção pode ser dividida em dois grupos: PoE interruptores (endspam) e adaptadores PoE (midspam).
Dependendo das taxas de alimentação e de dados transmitidos, o padrão 802.3at engloba duas versões:
  • Tipo 1 - para dispositivos compatíveis com 802.3af e com transmissão de energia empregando 2 pares de min. Cabo Cat.3, com potência de saída máxima de 12,95 W
  • Tipo 2 - com potência máxima de saída de 30 W, transmitida via min. Cat.5
A norma também define dois tipos de aplicação PoE:
  • Opção A - o poder é enviado juntamente com os dados sobre pares 1/2 e 3/6
  • Opção B - o poder é enviado em pares 4/5 e 7/8 (não utilizados em redes Fast Ethernet, no caso de Gigabit Ethernet os pares são usados ​​tanto para transmissão de dados e energia).
A unidade de fornecimento de energia pode implementar ambos ou apenas um dos tipos de ponto de entrada, enquanto que o restante é compatível com a norma. Assim, o dispositivo de potência deve suportar ambos os modos, no entanto, como se vê, na prática, nem todos os dispositivos finais são totalmente compatíveis com o padrão. Esta pode ser a razão para a falta de compatibilidade com algumas fontes de alimentação PoE.
Esquema de ligação de um switch PoE (endspan) e um 802.3af (802.3at tipo 1) dispositivo de potência.
Opção A - cor violeta, a opção B - cor amarela.
Esquema de ligações para um injetor PoE (midspan) e um 802.3af (802.3at tipo 1) dispositivo de potência.
Opção A - cor violeta, a opção B - cor amarela.
Esquema de ligação de um switch PoE (endspan) e um tipo de 802.3at 2 (PoE +) dispositivo alimentado.
Opção A - cor violeta, a opção B - cor amarela.
Esquema de ligações para um injetor PoE (midspan) e um tipo de 802.3at 2 (PoE +) dispositivo alimentado.
Opção A - cor violeta, a opção B - cor amarela.
Teste procedimentos e classes de dispositivos alimentados
Padrão PoE foi otimizado para a segurança. Para além de uma faixa de tensão segura, os dispositivos devem comunicar de acordo com procedimentos estabelecidos. Antes de fornecer a tensão de fornecimento, a fonte de alimentação PoE testa a conexão. A corrente é limitada em miliamperes e é aplicado para determinar o tipo actual do PoE implementado no dispositivo de potência (com a ajuda da resistência característica de cerca de 25 kQ utilizados para este fim no dispositivo). Além disso, este procedimento permite a verificação da continuidade da linha.
Classificação opcional de equipamento compatível com o padrão 802.3af fornece informações úteis sobre suas necessidades de energia. Ele baseia-se na medição da corrente que flui ao testar a ligação. O equipamento é classificado como segue:
ClassOutput power of power sourcing equipment (PSE) [W]Power consumed by powered device (PD)
[W]
015,4 0,44 -12,95 
14,0 0,44 - 3,84 
27,0 3,84 - 6,49 
315,4 6,49 - 12,95 
430 12,95 - 25,5 
Dispositivos compatíveis com 802.3at também comunicar um com o outro Layer-2 protocolo de gerenciamento de energia usando para alocação de mais potência, LLDP-MED (versão estendida do protocolo para a detecção automática de dispositivos). Com essa comunicação é possível determinar a demanda de potência real com precisão de 1.11W. A fonte de alimentação encaminha as informações sobre a demanda de energia em períodos de tempo regulares.
PoE 802.3af e 802.3at fontes de alimentação
  • PSA16U-480 M1890 (802.3af)
PoE Fonte Alimentação PSA16U-480
    *ULTIPOWER switches (existem modelos em conformidade com 802.3af ou 802.3at)
Adaptador Gigabit Ethernet: TP-LINK TG-3468 (PCI-E)
Solução não-standard - passivo PoE
Esquema de ligação de um injetor PoE passiva e dispositivo de potência
Passive PoE transmite energia através de condutores selecionados de cabo UTP / FTP. A tensão de fornecimento pode ser conectado diretamente ao dispositivo ligado nem convertido por um adaptador especial. Não existe comunicação entre a fonte de alimentação e o dispositivo alimentado por - a energia é fornecida continuamente. A fiação é geralmente feito de acordo com a opção B de IEEE 802.3af (uso de pares livres 4/5 (+) e 7/8 (-) 10/100 Mbps em redes Ethernet).
Há dispositivos de energia que podem operar em redes Gigabit Ethernet. Eles utilizam transformadores que permitem transmitir energia, juntamente com os dados (como na opção 802.3af A).
Deve notar-se que as soluções passivas PoE não são compatíveis com o padrão 802.3at e não são recomendadas para utilização em redes profissionais.
Equipamentos PoE Passivo
Um exemplo de solução PoE passiva em uma rede CCTV
  • 16 portas PoE Passivo Painel POEP1611B M1611 (com fonte de alimentação 48V/120W)
    PoE painel dedicado para armários rack.
Painel PoE Passivo 16-portas (com alimentação 48V/120W)
Adaptador PoE de 16 portas
M1611
  • POE084832 M18278 fonte de energia.
    Tem 8 saídas protegidas com fusíveis ou PTCs (selecionável). A tensão de saída pode ser ajustado dentro de 45.6V ... 52,8 VDC gama para compensar a queda de tensão no cabo.
PoE Switching fonte de energia POE084832 M18278
  • PoE Buffer Power Supply POE084824B M1858.
    Tem 8 saídas protegidas com fusíveis ou PTCs (selecionável). A fonte de alimentação fornece tensão constante pela conversão da tensão de entrada AC, ou, no caso de uma falha na rede de energia, a partir de quatro baterias recarregáveis ​​12 VDC.
Buffer PoE - Fonte de Alimentação POE084824B (54VDC, 8x0.3A)
Projeto da fonte de alimentação com quatro pilhas recarregáveis
 
fonte: http://www.dipol.pt/poe_-_iee_802_3af_e_iee_802_3at_bib746.htm