7/28/2019 73117296-Livro-Mikrotik
1/43
!!!Manual De Configurao Do Mikrotik!!!
Como fazer NAT no mikrotik
Acesse o menu IP, FIREWALL
Escolha a aba NAT
http://under-linux.org/wiki/index.php/Imagem:Firewall1.png7/28/2019 73117296-Livro-Mikrotik
2/43
Crie uma nova regra (boto +)
Em CHAIN escolha a opo forward, em OUT INTERFACE (SADA),escolha a interface do seu link com a internet.
Na aba ACTION, escolha em ACTION, a opo MASQUERAD.
http://under-linux.org/wiki/index.php/Imagem:Firewall3.pnghttp://under-linux.org/wiki/index.php/Imagem:Firewall2.png7/28/2019 73117296-Livro-Mikrotik
3/43
PRONTO!! Seu NAT est perfeitamente configurado.
Como amarrar IP/MAC
Acesse o menu IP, ARP
http://under-linux.org/wiki/index.php/Imagem:Arp1.pnghttp://under-linux.org/wiki/index.php/Imagem:Firewall4.png7/28/2019 73117296-Livro-Mikrotik
4/43
Crie uma nova ARP (boto +)
Digite o IP da mquina a qual quer amarrar, o MAC ADDRESS e aINTERFACE a qual a mquina ser ligada.
Em COMMENT, d o nome desta ARP, como no exemplo acima.
http://under-linux.org/wiki/index.php/Imagem:Arp3.pnghttp://under-linux.org/wiki/index.php/Imagem:Arp2.png7/28/2019 73117296-Livro-Mikrotik
5/43
Acesse o menu, INTERFACE
Como ltimo procedimento, voc deve habilitar em sua interface, o ARPpara reply-only.
http://under-linux.org/wiki/index.php/Imagem:Arp5.pnghttp://under-linux.org/wiki/index.php/Imagem:Arp4.png7/28/2019 73117296-Livro-Mikrotik
6/43
Web-proxy
Acesse o menu IP, WEB-PROXY
Clique no boto SETTINGS
http://under-linux.org/wiki/index.php/Imagem:Webproxy1.pnghttp://under-linux.org/wiki/index.php/Imagem:Arp6.png7/28/2019 73117296-Livro-Mikrotik
7/43
Dever aparecer uma tela como esta
Configure de acordo com suas necessidades...
SRC-ADDRESS = Deixe em branco
PORT = Escolher a porta do seu web-proxy
http://under-linux.org/wiki/index.php/Imagem:Webproxy3.pnghttp://under-linux.org/wiki/index.php/Imagem:Webproxy2.png7/28/2019 73117296-Livro-Mikrotik
8/43
TRANSPARENT PROXY = Deixe marcado para proxy transparente
PARENT PORT = Deixe em branco
PARENT PROXY PORT = Deixe em branco
CACHE ADMINISTRATOR = Deixe como est
MAXIMUM OBJECT SIZE = Deixe como est
CACHE DRIVE = Deixe como system
MAXIMUM CACHE SIZE = Define o tamanho do seu cache, varia deacordo com o tamanho do seu HD
MAXIMUM RAM
CACHE SIZE = Define o tamanho mximo de sua memria RAM para ocache
Aps configurar estes parmetros, aperte a tecla ENABLE
Aps configurar estes parmetros, aperte a tecla ENABLE
O segundo passo para nosso WEB-PROXY funcionar criar um regra pararedirecionar as requisies primeiramente para o proxy, para isso:
Acesse IP, FIREWALL
http://under-linux.org/wiki/index.php/Imagem:Webproxy4.png7/28/2019 73117296-Livro-Mikrotik
9/43
Escolha a aba NAT
Crie uma nova regra (boto +)
http://under-linux.org/wiki/index.php/Imagem:Webproxy5.pnghttp://under-linux.org/wiki/index.php/Imagem:Firewall1.png7/28/2019 73117296-Livro-Mikrotik
10/43
Crie a regra da seguinte forma:
CHAIN = DSTNAT PROTOCOL = 6 (TCP)* DST. PORT = 80
IN. INTERFACE = INTERFACE DOS CLIENTES
V na aba ACTION
http://under-linux.org/wiki/index.php/Imagem:Webproxy6.png7/28/2019 73117296-Livro-Mikrotik
11/43
Escolha em ACTION a opo REDIRECT e em TO PORT escolha aporta do seu proxy (definida anteriormente no comeo deste tpico).
interessante realizar uma regra para cada interface de assinantes. Nestecaso como possuo duas interfaces (LAN/WLAN), criei duas regras, uma para
cada interface.
importante criar uma regra de bloqueio externo ao web-proxy. Caso vocno crie esta regra, ela sobrecarregar o seu proxy, travando at mesmo seuservido. Siga abaixo:
Acesse o menu IP, FIREWALL
http://under-linux.org/wiki/index.php/Imagem:Webproxy7.png7/28/2019 73117296-Livro-Mikrotik
12/43
Acesse a aba FILTER RULES
Crie uma nova regra (boto +)
http://under-linux.org/wiki/index.php/Imagem:Webproxy8.pnghttp://under-linux.org/wiki/index.php/Imagem:Firewall1.png7/28/2019 73117296-Livro-Mikrotik
13/43
Segue a configurao:
CHAIN = INPUT* PROTOCOL = 6 (TCP) DST PORT = PORTA DO SEU WEB-PROXY
IN. INTERFACE = INTEFACE DE SADA (LINK DE INTERNET)
Acesse a aba ACTION
http://under-linux.org/wiki/index.php/Imagem:Webproxy9.png7/28/2019 73117296-Livro-Mikrotik
14/43
Em ACTION escolha a opo drop.
EM COMMENT voc pode dar um nome a regra, que neste caso foiapelidado de BLOQUEIO DO PROXY EXTERNO.
Com este passo-a-passo, voc criou e habilitou o seu web-proxy e tambmtornou mais eficiente, bloqueando o acesso externo a ele.
Controle de banda
Acesse no menu, QUEUE
http://under-linux.org/wiki/index.php/Imagem:Webproxy10.png7/28/2019 73117296-Livro-Mikrotik
15/43
Crie um novo controle de banda (boto +)
http://under-linux.org/wiki/index.php/Imagem:Queue2.pnghttp://under-linux.org/wiki/index.php/Imagem:Queue1.png7/28/2019 73117296-Livro-Mikrotik
16/43
Configure como abaixo:
NAME = Nome do "dono" da configurao Nome do cliente TARGET ADDRESS = IP que ir controlar a banda TARGET UPLOAD MAX LIMIT = Taxa de upload (Colocar k
Minsculo no final) TARGET DOWNLAOD MAX LIMIT = Taxa de download (Colocar k
minsculo no final)
Controle de banda concludo. Somente isso necessrio.
Acesso remoto a outros MK
PS: Para ter acesso a rdios AP em sua rede, voc dever habilitar afuno ATIVAR GERENCIAMENTO PELA PORTA WAN do seu rdio.
Simples. Basta criar trs regras no firewall. Segue abaixo:
Acesse o menu IP, FIREWALL
http://under-linux.org/wiki/index.php/Imagem:Queue3.png7/28/2019 73117296-Livro-Mikrotik
17/43
Clique na aba NAT
Crie uma nova regra (boto +)
http://under-linux.org/wiki/index.php/Imagem:Firewall2.pnghttp://under-linux.org/wiki/index.php/Imagem:Firewall1.png7/28/2019 73117296-Livro-Mikrotik
18/43
Siga os procedimentos de configurao abaixo:
CHAIN = DTSNAT DST. ADDRESS = Endereo IP do MK principal PROTOCOL = 6 (TCP)
DST. PORT = 4040 (Porta padro do Firewall)
Abra a aba ACTION
http://under-linux.org/wiki/index.php/Imagem:Access2.png7/28/2019 73117296-Livro-Mikrotik
19/43
Siga as configurao abaixo:
ACTION = DTSNAT O ADDRESS = Endereo IP do AP que deseja acessar. TO PORT = Porta de acesso do AP
Confirme e d um nome em COMMENT para sua regra.
ATENO: Se o AP que voc deseja acessar for um outro AP Mikrotik,voc dever escolher a porta padro TELNET (23). Se for um AP rdio,escolha a porta padro HTTP (80) ou outra escolhida no rdio.
Voc dever criar uma segunda regra
http://under-linux.org/wiki/index.php/Imagem:Access3.png7/28/2019 73117296-Livro-Mikrotik
20/43
Repetindo o mesmo procedimento acima, mas desta vez, alterandoapenas o protocolo para 17 (UDP).
Salve tudo e crie a terceira regra.
http://under-linux.org/wiki/index.php/Imagem:Access3.pnghttp://under-linux.org/wiki/index.php/Imagem:Access4.png7/28/2019 73117296-Livro-Mikrotik
21/43
Nesta regra, voc ir definir um endereo IP para seu AP. Verifique comsua operadora quais endereos IP voc tem e quais esto sobrando.
Cria a regra como abaixo:
CHAIN = DTSNAT DST. ADDRESS = Endereo IP livre, a qual ser atribudo ao seu rdio
ou AP MIKROTIK. PROTOCOL = 6 (TCP) DST. PORT = Porta de acesso ao AP ou rdio. Se voc for acessar
outro AP pelo WINBOX, selecione a porta 8291 (PORTA PADRO DOWINBOX), se voc for acessar um rdio, a porta padro a 80 ou outrapr-definida do rdio.
Abra a aba ACTION
http://under-linux.org/wiki/index.php/Imagem:Access1.png7/28/2019 73117296-Livro-Mikrotik
22/43
Nesta aba voc ir configurar da seguinte forma:
ACTION = DST-NAT TO ADDRESS = Endereo IP do seu rdio ou AP (endereo de IP da
rede interna)
TO PORT = Porta padro para o WINBOX (AP MIKROTIK) ou portapadro para rdios, porta 80 (ou outra definida).
Pronto!!! Para ter acesso a AP MIKROTIK, v no WINBOX, digite o IPvlido definido acima, senha e login. Para ter acesso a rdios, abra o internetexplorer, digite o endereo IP vlido definido acima... Abrir um box para senhae login... Digite-as e seja feliz!!!
No esquecer de adicionar os IP's vlidos que sero usados para osrdios na ADDRESS LIST. Como??
Acesse o menu IP, ADDRESS LIST
http://under-linux.org/wiki/index.php/Imagem:Access5.png7/28/2019 73117296-Livro-Mikrotik
23/43
Crie uma nova lista de endereos (boto +)
http://under-linux.org/wiki/index.php/Imagem:Address2.pnghttp://under-linux.org/wiki/index.php/Imagem:Address1.png7/28/2019 73117296-Livro-Mikrotik
24/43
De acordo com seu link, coloque o novo IP vlido, o Ip da "NETWORK e oIP do BROADCAST. Defina tambm a interface (Neste caso, a interface desada da internet)
Controle P2P (MUITO BOM)
Aqui voc ir aprender a bloquear o trfico P2P, marcando pacotes,facilmente. Basta apenas 4 regrinhas, 2 no firewall e 2 no queue. Ento vamosl:
Acesse o menu IP, FIREWALL
http://under-linux.org/wiki/index.php/Imagem:Address3.png7/28/2019 73117296-Livro-Mikrotik
25/43
Escolha a aba, MANGLE
Crie uma nova regra (boto +)
http://under-linux.org/wiki/index.php/Imagem:P2p1.pnghttp://under-linux.org/wiki/index.php/Imagem:Firewall1.png7/28/2019 73117296-Livro-Mikrotik
26/43
No campo "CHAIN", escolha "PREROUTING". No campo "P2P", escolha"all-p2p".
Abra a aba ACTION
No campo "ACTION", escolha "MARK CONNECTION". No campo "NEWCONNECTION MARK", d um nome a sua nova marcao de pacotes (no
http://under-linux.org/wiki/index.php/Imagem:P2p3.pnghttp://under-linux.org/wiki/index.php/Imagem:P2p2.png7/28/2019 73117296-Livro-Mikrotik
27/43
exemplo, demos o nome de "p2p_conn". Deixe a opo "PASSTHROUGH"ligada. Confirme.
Crie uma nova regra (boto +)
No campo "CHAIN", escolha "PREROUTING". No campo "CONNECTIONMARK" escolha a opo com o nome definido acima (no nosso caso foi"p2p_conn".
Abra a aba ACTION
http://under-linux.org/wiki/index.php/Imagem:P2p4.png7/28/2019 73117296-Livro-Mikrotik
28/43
No campo "ACTION", escolha "MARK PACKET", no campo "NEWPACKET MARK", defina outro nome (no nosso caso, ficou como "p2p".Confirme.
Aps criar estas duas regras no firewall, ser necessrio criar mais duas
regras no queue. Para isso:
Abra o menu, QUEUE
http://under-linux.org/wiki/index.php/Imagem:P2p5.png7/28/2019 73117296-Livro-Mikrotik
29/43
Abra a aba "QUEUE TREE"
Crie uma nova regra (boto +)
http://under-linux.org/wiki/index.php/Imagem:P2p6.pnghttp://under-linux.org/wiki/index.php/Imagem:Queue1.png7/28/2019 73117296-Livro-Mikrotik
30/43
Defina de acordo com a figura.
NAME = Defina um nome para a regra PARENT = Escolha "GLOBAL-IN" PACKET MARK = Escolha a opo do nome escolhido acima.
Aparecer aqui o nome definido na regra do firewall QUEUE TYPE = DEFALT PRIORITY = 8 MAX LIMIT = Define o limite mximo de banda reservado para o P2P.
No nosso caso, um total de 200k para p2p
Confirme...
Crie uma nova regra (boto +)
http://under-linux.org/wiki/index.php/Imagem:P2p7.png7/28/2019 73117296-Livro-Mikrotik
31/43
Defina de acordo com a figura.
NAME = Defina um nome para a regra PARENT = Escolha "GLOBAL-OUT" PACKET MARK = Escolha a opo do nome escolhido acima.
Aparecer aqui o nome definido na regra do firewall QUEUE TYPE = DEFALT PRIORITY = 8 MAX LIMIT = Define o limite mximo de banda reservado para o P2P.
No nosso caso, um total de 200k para p2p
Confirme...
Pronto!!! Moleza!!! Agora o trfico P2P, est sendo limitado por marcaode pacotes. Esta regra muito eficiente!!
BACKUP e restaurao
Abra o menu, FILES
http://under-linux.org/wiki/index.php/Imagem:P2p8.png7/28/2019 73117296-Livro-Mikrotik
32/43
Para criar uma cpia de backup, clique em "BACKUP"
Em "FILE NAME", aparecer o novo BACKUP. Esta cpia estararmazenada no HD do MIKROTIK. Para copiar este backup em outrocomputador, clique em "copy" (como na figura) e cole em qualquer pasta no
windows.
http://under-linux.org/wiki/index.php/Imagem:Backup2.pnghttp://under-linux.org/wiki/index.php/Imagem:Backup1.png7/28/2019 73117296-Livro-Mikrotik
33/43
Para restaurar o seu backup, escolha a cpia desejada na "FILE NAME"e clique em "RESTORE", como abaixo.
Voc tambm poder restaurar uma cpia de backup, que encontra-se noseu windows, por exemplo. Para isso, no seu sistema operacional, selecione o
arquivo do backup e com boto direito do mouse, escolha "COPIAR" (COPY).
http://under-linux.org/wiki/index.php/Imagem:Backup3.pnghttp://under-linux.org/wiki/index.php/Imagem:Backup4.png7/28/2019 73117296-Livro-Mikrotik
34/43
V na janela de backup do seu MIKROTIK e clique em "paste" (como nafigura).
Selecione esta nova cpia do backup (aparecer na lista) e aperte em"RESTORE"
Aps realizar a restaurao do backup, reinicie o seu MIKROTIK.
http://under-linux.org/wiki/index.php/Imagem:Backup3.pnghttp://under-linux.org/wiki/index.php/Imagem:Backup5.png7/28/2019 73117296-Livro-Mikrotik
35/43
PS: Estamos tratando apenas de backup realizados pela "winbox", sejaele remotamente ou no prprio servidor.
Limitar coneces por cliente
Simplrrimo!!
Acesse o menu IP, FIREWALL
Na aba "FILTER RULES", crie uma nova regra (boto "+").
http://under-linux.org/wiki/index.php/Imagem:Firewall1.png7/28/2019 73117296-Livro-Mikrotik
36/43
Configure da seguinte forma:
CHAIN = FORWARD SRC. ADDRESS = ENDEREO DO CLIENTE A QUAL APLICAR O
LIMITE.
PROTOCOL = 6 (TCP)
Agora abra a aba "ADVANCED"
http://under-linux.org/wiki/index.php/Imagem:Cliente1.png7/28/2019 73117296-Livro-Mikrotik
37/43
Em "TCP FLAGS", escolha a opo "SYN" (este comando responsvel pelorecebimento da requisio de conexo do cliente e tambm pelo aviso de que aporta est ou no disponvel
Abra a aba "EXTRA"
http://under-linux.org/wiki/index.php/Imagem:Cliente3.pnghttp://under-linux.org/wiki/index.php/Imagem:Cliente2.png7/28/2019 73117296-Livro-Mikrotik
38/43
Em "CONNECTION LIMIT" / "LIMIT", defina o nmero de conexes mximaspara este cliente.
No campo "NETMASK", defina a mscara 32 (32 significa que a regra seraplicada apenas a este IP)
Agora abra a aba "ACTION"
[Imagem:cliente4.png|500px]]
EM "ACTION", escolha a opo "DROP".
Basicamente esta regra libera XX coneces simultneas para o cliente,bloqueando requisies de coneces acima do limite.
Configure de acordo com sua necessidades
PS: Caso deseje aplicar a regra para um range de IPs completo, configure o IPXXX.XXX.XXX.0 e o NETMASK para 24.
Servidor PPoE e Cadastro de Clientes
Abra o menu PPP
Clique na aba "PROFILES"
http://under-linux.org/wiki/index.php/Imagem:Ppp1.png7/28/2019 73117296-Livro-Mikrotik
39/43
Crie um novo profile (boto "+")
Configure este novo profile de acordo com suas necessidades. Basicamenteconfigure assim:
NAME = Nome do profile. USE COMPRESSION = NO
http://under-linux.org/wiki/index.php/Imagem:Ppp3.pnghttp://under-linux.org/wiki/index.php/Imagem:Ppp2.png7/28/2019 73117296-Livro-Mikrotik
40/43
USE VJ COMPRESSION = NO USE ENCRYPTION = NO CHANGE TCP MSS = YES
O outros campos deixe em branco, conforme a figura acima.
Confirme e abra a aba "INTERFACES" (na janela PPP mesmo) e clique noboto "PPPoE SERVER".
Na janela "PPPoE SERVER LIST", crie um novo servidor (boto "+")
http://under-linux.org/wiki/index.php/Imagem:Ppp4.png7/28/2019 73117296-Livro-Mikrotik
41/43
Configure de acordo com suas necessidades. Basicamente como abaixo:
Parmetros:
SERVICE NAME = Nome do servidor PPPoE.
INTERFACE = Interface com que este servidor ir trabalhar.
http://under-linux.org/wiki/index.php/Imagem:Ppp7.pnghttp://under-linux.org/wiki/index.php/Imagem:Ppp6.png7/28/2019 73117296-Livro-Mikrotik
42/43
MAX MTU = Taxa mxima de transmisso. Basicamente deixe em 1500para clientes com winxp pra cima e 1452 para clientes com win98 prabaixo e clientes que utilizam discador RASPPPOE.
MAX MRU = Taxa mxima de recepo. Configurar conforme acima. KEEPALIVE TIMEOUT = Tempo mximo quem uma conexo retornar
um erro. Basicamente deixe em 10. DEFALT PROFILE = Lembra do profile que voc criou? aqui que
todas estas configuraes ficaro incorporados a ele. Basicamente oprofile um atalho de todas estas configuraes.
ONE SESSION PER HOST = Esta opo permite que login e senha deum cliente (cadastrado no servidor pppoe), conecte por vez. Isto interessante, pois evita que vrias pessoas conectem ao mesmo tempocom apenas um login e senha. Deixe marcado.
MAX SESSION = Define o nmero mximo de conexes a este servidor.Basicmaente deixe em branco mesmo.
AUTENTICATION = Basicamente para haver compatibilidade com todos
os servios de discagem disponveis, deixe todas marcadas.
Voc poder criar vrios servidores PPPoE. Cada um atendendo umadeterminada interface e um determinado sistema operacional, como noexemplo abaixo:
Para cadastrar clientes bem fcil. Aps criar seu servidor PPPoE, bastaclicar na aba "SECRETS"
http://under-linux.org/wiki/index.php/Imagem:Ppp8.png7/28/2019 73117296-Livro-Mikrotik
43/43
Para criar uma nova conta, aperte no boto "+"
http://under-linux.org/wiki/index.php/Imagem:Ppp10.pnghttp://under-linux.org/wiki/index.php/Imagem:Ppp9.png