Mikrotik Guia passo-a-passo do Mikrotik
1 Introdução 2 Como fazer NAT no Mikrotik 3 Como amarrar IP/MAC 4 Configurando o WEB-PROXY 5 Controle de banda 6 Acesso remoto a outro Mikrotik 7 Controle P2P (MUITO BOM) 8 BACKUP e restauração 9 Limitar conexões por cliente 10 Servidor PPPoE e Cadastro de Clientes 1 Amarrar faixa de IP no DHCP ***EM CONSTRUÇÃO*** 12 Configurando o HOTSPOT 13 Configurações dos cartões Wireless ***EM CONSTRUÇÃO*** 14 Entendendo cada função do menu do WINBOX ***EM CONSTRUÇÃO*** 15 Instalação do MIKROTIK (Link Dedicado) 16 Instalação do MIKROTIK (ADSL) - Modem BRIDGE 17 Configurando Servidor de Hora Automático 18 Lista de SCRIPTS e AGENDAMENTOS úteis 19 Configurando Liberação Automática de Banda por hora determinada 20 LOADBALANCE - Visão Geral e Aplicação 21 LOADBALANCE - ADSL X ADSL ***EM CONSTRUÇÃO*** 2 LOADBALANCE - ADSL X LINK DEDICADO ***EM CONSTRUÇÃO*** 23 LOADBALANCE - DIVIDINDO CARGA DE FORMA PERSONALIZADA ENTRE OS LINKS ***EM CONSTRUÇÃO*** 24 Mikrotik como AP-bridge 25 FIREWALL 26 Gráficos em Tempo Real do Mikrotik 27 Autor
Introdução
Busquei neste passo a passo, ajudar, de certa forma, aqueles que sentem dificuldade para realizar simples tarefas neste SO, Mikrotik. Basicamente a estrutura de todo este passo-a-passo é a fácil execução dos procedimentos, orientados por simples textos e imagens.
Agradeço a todos, que colaboraram ou colaboram direta ou indiretamente pela realização deste.
É expressamente proibida a VENDA ou qualquer outra forma de remuneração por meio deste material. É permitido divulgar, colaborar, inserir artigos ou correções neste material.
Desenvolvi este manual passo-a-passo, para auxiliar a todos iniciantes ou não deste excelente sistema operacional para roteadores.
Como fazer NAT no Mikrotik Acesse o menu IP, FIREWALL
Escolha a aba NAT
Crie uma nova regra (botão “+”)
Em “CHAIN” escolha a opção “srcnat”, em OUT INTERFACE (SAÍDA), escolha a interface do seu link com a internet.
Na aba “ACTION”, escolha a opção “MASQUERAD”.
PRONTO!! Seu NAT está perfeitamente configurado.
Como amarrar IP/MAC Acesse o menu IP, ARP
Digite o IP da máquina a qual quer amarrar, o MAC ADDRESS e a INTERFACE a qual a máquina será ligada.
Em COMMENT, dê o nome desta ARP, como no exemplo acima. Acesse o menu, INTERFACE
Configure de acordo com suas necessidades... SRC-ADDRESS = Deixe em branco PORT = Escolher a porta do seu web-proxy TRANSPARENT PROXY = Deixe marcado para proxy transparente PARENT PORT = Deixe em branco PARENT PROXY PORT = Deixe em branco CACHE ADMINISTRATOR = Deixe como está MAXIMUM OBJECT SIZE = Deixe como está CACHE DRIVE = Deixe como “system”
MAXIMUM CACHE SIZE = Define o tamanho do seu cache, varia de acordo com o tamanho do seu HD
MAXIMUM RAM CACHE SIZE = Define o tamanho máximo de sua memória RAM para o cache Após configurar estes parâmetros, aperte a tecla “ENABLE” Após configurar estes parâmetros, aperte a tecla “ENABLE”
NÃO se deve fazer CACHE de PÁGINAS DINÂMICAS (bancos, globo.com, etc etc...)
Duas regras devem ser colocadas na aba "CACHE" do Web-Proxy para esse efeito: IP / WEB-PROXY / CACHE Crie uma nova regra (botão “+”) add url=":cgi-bin \\?" action=deny comment="no cache dynamic http pages" \ disabled=no add url="https://" action=deny comment="no cache dynamic https pages" \ disabled=no
O segundo passo para nosso WEB-PROXY funcionar é criar um regra para redirecionar as requisições primeiramente para o proxy, para isso:
Acesse IP, FIREWALL Escolha a aba “NAT”
Crie a regra da seguinte forma:
CHAIN = DSTNAT PROTOCOL = 6 (TCP)* DST. PORT = 80 IN. INTERFACE = INTERFACE DOS CLIENTES
Vá na aba “ACTION”
Escolha em “ACTION” a opção “REDIRECT” e em “TO PORT” escolha a porta do seu proxy (definida anteriormente no começo deste tópico).
É interessante realizar uma regra para cada interface de assinantes. Neste caso como possuo duas interfaces (LAN/WLAN), criei duas regras, uma para cada interface.
É importante criar uma regra de bloqueio externo ao web-proxy. Caso você não crie esta regra, ela sobrecarregará o seu proxy, travando até mesmo seu servido. Siga abaixo:
Acesse o menu IP, FIREWALL
Acesse a aba “FILTER RULES”
Segue a configuração:
CHAIN = INPUT* PROTOCOL = 6 (TCP) DST PORT = PORTA DO SEU WEB-PROXY IN. INTERFACE = INTEFACE DE SAÍDA (LINK DE INTERNET)
Acesse a aba “ACTION”
Em “ACTION” escolha a opção “drop”.
EM COMMENT você pode dar um nome a regra, que neste caso foi apelidado de “BLOQUEIO DO PROXY EXTERNO”.
Com este passo-a-passo, você criou e habilitou o seu web-proxy e também tornou mais eficiente, bloqueando o acesso externo a ele.
Controle de banda Acesse no menu, QUEUE
Configure como abaixo:
NAME = Nome do "dono" da configuração – Nome do cliente TARGET ADDRESS = IP que irá controlar a banda TARGET UPLOAD – MAX LIMIT = Taxa de upload (Colocar “k” Minúsculo no final) TARGET DOWNLAOD – MAX LIMIT = Taxa de download (Colocar “k” minúsculo no final)
Controle de banda concluído. Somente isso é necessário.
Acesso remoto a outro Mikrotik
PS: Para ter acesso a rádios AP em sua rede, você deverá habilitar a função “ATIVAR GERENCIAMENTO PELA PORTA WAN” do seu rádio.
Simples. Basta criar três regras no firewall. Segue abaixo:
Acesse o menu IP, FIREWALL Clique na aba “NAT”
Crie uma nova regra (botão “+”)
Siga os procedimentos de configuração abaixo:
CHAIN = DSTNAT DST. ADDRESS = Endereço IP do MK principal PROTOCOL = 6 (TCP) DST. PORT = 4040 (Porta padrão do Firewall)
Abra a aba “ACTION”
Siga as configuração abaixo:
ACTION = DSTNAT O ADDRESS = Endereço IP do AP que deseja acessar. TO PORT = Porta de acesso do AP
Confirme e dê um nome em COMMENT para sua regra.
ATENÇÃO: Se o AP que você deseja acessar for um outro AP Mikrotik, você deverá escolher a porta padrão TELNET (23). Se for um AP rádio, escolha a porta padrão HTTP (80) ou outra escolhida no rádio.
Você deverá criar uma segunda regra
Repetindo o mesmo procedimento acima, mas desta vez, alterando apenas o protocolo para 17 (UDP).
Salve tudo e crie a terceira regra.
Nesta regra, você irá definir um endereço IP para seu AP. Verifique com sua operadora quais endereços IP você tem e quais estão sobrando.
Cria a regra como abaixo:
CHAIN = DSTNAT DST. ADDRESS = Endereço IP livre, a qual será atribuído ao seu rádio ou AP MIKROTIK. PROTOCOL = 6 (TCP)
DST. PORT = Porta de acesso ao AP ou rádio. Se você for acessar outro AP pelo WINBOX, selecione a porta 8291 (PORTA PADRÃO DO WINBOX), se você for acessar um rádio, a porta padrão é a 80 ou outra pré-definida do rádio.
Abra a aba “ACTION”
Nesta aba você irá configurar da seguinte forma:
ACTION = DST-NAT TO ADDRESS = Endereço IP do seu rádio ou AP (endereço de IP da rede interna) TO PORT = Porta padrão para o WINBOX (AP MIKROTIK) ou porta padrão para rádios, porta 80 (ou outra definida).
endereço IP válido definido acima | Abrirá um box para senha e login... Digite-as e seja |
Não esquecer de adicionar os IP's válidos que serão usados para os rádios na ADDRESS LIST. Como??
Acesse o menu IP, ADDRESS LIST Acesse o menu IP, ADDRESS LIST
Controle P2P (MUITO BOM)
Aqui você irá aprender a controlar (shape) o tráfego P2P, marcando pacotes, facilmente. Basta apenas 4 regrinhas, 2 no firewall e 2 no queue. Então vamos lá:
Acesse o menu IP, FIREWALL
Escolha a aba, MANGLE
No campo "CHAIN", escolha "PREROUTING". No campo "P2P", escolha "allp2p".
Abra a aba “ACTION”
No campo "ACTION", escolha "MARK CONNECTION". No campo "NEW
CONNECTION MARK", dê um nome a sua nova marcação de pacotes (no exemplo, demos o nome de "p2p_conn". Deixe a opção "PASSTHROUGH" ligada. Confirme.
Crie uma nova regra (botão “+”)
No campo "CHAIN", escolha "PREROUTING". No campo "CONNECTION MARK" escolha a opção com o nome definido acima (no nosso caso foi "p2p_conn".
Abra a aba “ACTION”
No campo "ACTION", escolha "MARK PACKET", no campo "NEW PACKET MARK", defina outro nome (no nosso caso, ficou como "p2p". Confirme.
Após criar estas duas regras no firewall, será necessário criar mais duas regras no queue. Para isso:
Abra o menu, QUEUE
Defina de acordo com a figura.
NAME = Defina um nome para a regra PARENT = Escolha "GLOBAL-IN" PACKET MARK = Escolha a opção do nome escolhido acima. Aparecerá aqui o nome definido na regra do firewall QUEUE TYPE = DEFALT PRIORITY = 8
MAX LIMIT = Define o limite máximo de banda reservado para o P2P. No nosso caso, é um total de 200k para p2p
Confirme |
Defina de acordo com a figura.
NAME = Defina um nome para a regra PARENT = Escolha "GLOBAL-OUT" PACKET MARK = Escolha a opção do nome escolhido acima. Aparecerá aqui o nome definido na regra do firewall QUEUE TYPE = DEFALT PRIORITY = 8 MAX LIMIT = Define o limite máximo de banda reservado para o P2P. No nosso caso, é um total de 200k para p2p
Confirme |
BACKUP e restauração Abra o menu, FILES
HD do MIKROTIK. Para copiar este backup em outro computador, clique em "copy" (como na figura) e cole em qualquer pasta no windows.
PS: Estamos tratando apenas de backup realizados pela "winbox", seja ele remotamente ou no próprio servidor.
Limitar conexões por cliente
Simplérrimo!! Acesse o menu IP, FIREWALL
Na aba "FILTER RULES", crie uma nova regra (botão "+"). Configure da seguinte forma:
CHAIN = FORWARD SRC. ADDRESS = ENDEREÇO DO CLIENTE A QUAL APLICARÁ O LIMITE. PROTOCOL = 6 (TCP)
Agora abra a aba "ADVANCED"
Em "TCP FLAGS", escolha a opção "SYN" (este comando é responsável pelo recebimento da requisição de conexão do cliente e também pelo aviso de que a porta está ou não disponível
Abra a aba "EXTRA"
Em "CONNECTION LIMIT" / "LIMIT", defina o número de conexões máximas para este cliente.
No campo "NETMASK", defina a máscara 32 (32 significa que a regra será aplicada apenas a este IP)
Agora abra a aba "ACTION" [Imagem:cliente4.png|500px]] EM "ACTION", escolha a opção "DROP".
Basicamente esta regra libera N conexões simultâneas para o cliente, bloqueando requisições de conexões acima do limite.
Configure de acordo com suas necessidades
PS: Caso deseje aplicar a regra para um range de IPs completo, configure o IP X.X.X.0 e o NETMASK para 24.
Servidor PPPoE e Cadastro de Clientes Abra o menu P
Configure este novo profile de acordo com suas necessidades. Basicamente configure assim:
NAME = Nome do profile. USE COMPRESSION = NO USE VJ COMPRESSION = NO USE ENCRYPTION = NO CHANGE TCP MSS = YES
O outros campos deixe em branco, conforme a figura acima.
Confirme e abra a aba "INTERFACES" (na janela P mesmo) e clique no botão "PPPoE SERVER".
Parâmetros:
SERVICE NAME = Nome do servidor PPPoE. INTERFACE = Interface com que este servidor irá trabalhar. MAX MTU = Taxa máxima de transmissão. Basicamente deixe em 1500 para clientes com winxp pra cima e 1452 para clientes com win98 pra baixo e clientes que utilizam discador RASPPPOE. MAX MRU = Taxa máxima de recepção. Configurar conforme acima. KEEPALIVE TIMEOUT = Tempo máximo quem uma conexão retornará um erro. Basicamente deixe em 10. DEFALT PROFILE = Lembra do profile que você criou? É aqui que todas estas configurações ficarão incorporados a ele. Basicamente o profile é um atalho de todas estas configurações. ONE SESSION PER HOST = Esta opção permite que login e senha de um cliente (cadastrado no servidor pppoe), conecte por vez. Isto é interessante, pois evita que várias pessoas conectem ao mesmo tempo com apenas um login e senha. Deixe marcado. MAX SESSION = Define o número máximo de conexões a este servidor. Basicamente deixe em branco mesmo. AUTENTICATION = Para haver compatibilidade com todos os serviços de discagem disponíveis, deixe todas marcadas.
Você poderá criar vários servidores PPPoE. Cada um atendendo uma determinada interface e um determinado sistema operacional, como no exemplo abaixo:
Para cadastrar clientes é bem fácil. Após criar seu servidor PPPoE, basta clicar na aba "SECRETS"
Configure de acordo com suas necessidades:
NAME = Login do assinante. Pode conter @x.com.br ou não. PASSWORD = Senha de acesso. SERVICE = Escolha PPPoe. CALLER ID = Define qual MAC Adress ficará amarrado esta conexão PROFILE = Define o profile que será amarrado esta conexão. LOCAL ADRESS = Endereço do Gateway (normalmente a faixa de IP utilizada com final 254) REMOTE ADRESS = Endereço IP desta máquina (preferencialmente dentro da faixa de IP do LOCAL ADRESS). ROUTERS = Define roteamento. Deixar em branco. LIMITY BYTES IN = Limita o número de bytes de entrada. Deixar em branco. LIMITY BYTES OUT = Limita o número de bytes de saída.
Confirme tudo e pronto. No computador do cliente basta criar uma conexão PPPoE com esta senha e login e mandar conectar.
Amarrar faixa de IP no DHCP
Caso você saiba alguma coisa a respeito desse conteúndo digite nessa area e me manda por e-mail: acmc007@gmail.com colocar do lado donome do arquivo a data de atualização, assim posso atualizar ele no disco virtual.
Obrigado pela atenção.
Configurando o HOTSPOT
Para configurar um Hotspot utilizando o Winbox, é necessário que as interfaces estejam configuradas e online. Vá para o menu IP -> Hotspot:
Na imagem 2, você pode aceitar o endereço padrão da interface ou atribuir um outro para o Hotspot. Na imagem 3, escolha a faixa de IPs que os cliente usarão e por último, defina um DNS válido para esta rede.
Ao final destes passos, você terá que criar o primeiro usuário para acessar o
Hotspot. O próprio assitente sugere o usuário Admin, digite uma senha para ele e o assistente concluirá a configuração.
Agora, você já pode testar, dentro da rede local, basta tentar acessar qualquer endereço externo, digite o usuário e senha e pronto.
Configurações dos cartões Wireless
Caso você saiba alguma coisa a respeito desse conteúndo digite nessa area e me manda por e-mail: acmc007@gmail.com colocar do lado do nome do arquivo a data de atualização, assim posso atualizar ele no disco virtual.
Obrigado pela atenção.