José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
1
Minicurso de MikrotikCurso: Mikrotik – histórico, características e instalação e configuração básicas
Ministrante: José Ferreira Neto
Bio resumida:Bacharel em sistemas de informação, formado pela CEULJI – Campus de Ji-paraná/RO em 02/2008Blogueiro, desenvolvedor web em CMS WordPress, Joomla e Xoops. Manutenção e Suporte em redes, servidores e equipamentos de informática, sistemas operacionais Linux e Windows, Mikrotik.Currículo: http://lattes.cnpq.br/2399116495344293
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
2
Minicurso de Mikrotik
O que é o Mikrotik
Na verdade Mikrotik é uma empresa que fabrica equipamentos para redes de computadores, principalmente wireless, da Latvia (Letônia), Mikrotik RouterOS é o sistema operacional, principal produto da empresa Mikrotik.
O Mikrotik RouterOS é um sistema operacional baseado em Linux que permite que qualquer plataforma x86 se torne um poderoso roteado dotado de funções, como: VPN, Proxy, Hotspot, Controle de banda, QoS, Firewal, entre outras que variam de acordo com a licença adquirida do sistema.
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
3
Minicurso de MikrotikCom o sistema Mikrotik RouterOS é possível criar uma rede segura, com firewall eficiente, concatenação de links (juntar vários links num só equipamento). O sistema conta também com o suporte de protocolos de roteamento, como BGP, RIP, OSPF, MPLS, entre outros, de acordo com a licença obtida.
O que muda nos níveis de licença são limitações de algumas funções, mas todas permitem funções suficientes para administrar um provedor de internet tradicional.
Usado em aeroportos, hotéis, provedores de wireless, grandes empresas como firewall, balanceamento de redes, etc.
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
4
Minicurso de MikrotikCaracterísticas básicasPode ser acessado diretamente ou remotamente, com o uso de ferramentas, como Winbox (GUI), Console (CLI), WEB (remoto), Dude.
Funções/modos de operações principaisRoteador dedicadoBridge com filtros em layer2Firewall com layer7 e diversos filtrosControle de velocidade, garantia de banda, burst, hierarquia e disciplinas de filasPonto de Acesso Wireless modo 802.11 e proprietário, cliente wirelessWDS, NSTREME, NSTREME DualConcentrador PPPoE, PPtP, IPSeC, L2TP, etc.Roteador de BordaServidor Dial-in e Dial - outHotspot e gerenciador de usuáriosWEB Proxy (cache de páginas e arquivos)Recursos de Bonding, VRRP, etc.Virtualização com Xen e MetaRouterLinguagem avançada de scriptsRoteamento com OSPF, MPLS, BGP, etc.Ferramentas: watchdog, bandwidth test, torch
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
5
Minicurso de MikrotikSites de referência | onde obter suporte
InglêsMikrotik - Página oficial RouterBoard - Página oficial Encontros MUM - Página oficial Treinamentos Oficiais - Página oficial
Português Manual Passo a Passo em Português CATVBRASIL Belluno Tecnologia Comunidade Under-Linux Site oficial da Mikrotik Manaus Especialista em Mikrotik Lista de placas-mães/redes compatíveis pode ser obtido aquihttp://wiki.mikrotik.com/wiki/Supported_Hardware
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
6
Minicurso de Mikrotik
Objetivo do minicurso
Rotear uma conexão originada do modem e direcionar para uma placa de rede secundária, para uma lan-house com 10 computadores;
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
7
Minicurso de Mikrotik
O que preciso ter para configurar o servidor
Placa-mãe de boa qualidade/marca; 2 Placas de rede compatíveis com o sistema;HD;Sinal de rede (Link/ADSL);
Conhecimentos de rede (Protocolo TCP/IP, mascaramento, entre outros);Planejamento (todo projeto deve ser planejado);
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
8
Minicurso de Mikrotik
Passos iniciais
1) Gravar imagem do sistema em CD;2) Configurar o computar para bootar pelo
driver de CD/DVD;3) Marcar os pacotes que deseja instalar;4) Instalar;5) Registrar a licença de uso do sistema;
Obs: A versão que usaremos será a 3.20, nível 6 e Trial;
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
9
Minicurso de MikrotikInstalaçãoApós os passos descritos anteriormente, a tela inicial do sistema será esta:
Pressione a letra “A” e depois “I”, para selecionar e instalar os pacotes do sistema.
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
10
Minicurso de MikrotikInstalaçãoApós a instalação, o sistema será aberto como na imagem abaixo:
Para acessar basta digitar admin e senha em branco
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
11
Minicurso de MikrotikConfiguração inicial
Vamos fazer toda a configuração visualmente, usando um aplicativo chamado Winbox.
Plugue um cabo de rede em uma das placas de rede instalada, usando um cabo padrão 568A ou 568B (mesmo com conexão nula/limitada você tem acesso à ele, pois o Mikrotik possibilita o acesso via endereço MAC (endereço físico da placa de rede));Ou coloque o servidor na mesma rede (via HUB/Switch/AP) e acesse via terminal.
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
12
Minicurso de MikrotikConfiguração inicialAcessando via Winbox
Acesse usando o MAC.Clique no botão [...] e o servidor deve aparecer na lista, se ele estiver na mesma rede.
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
13
Minicurso de MikrotikConfiguração inicialTela iniciar do Mikrotik via Winbox
Acesse usando o MAC.
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
14
Minicurso de MikrotikConfiguração inicial
Primeira coisa à fazer é verificar quais placas (interfaces) o Mikrotik reconheceu.Clique em Interfaces
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
15
Minicurso de MikrotikConfiguração inicial
Veja que no exemplo o Mikrotik reconheceu duas placas de rede, uma chamada eth0 (cabeada) e outra wlan1, wireless (sem fio).
Dê dois cliques sobre a placa (identificar, exemplo: Entrada ou Link. Vamos usar LINK.
Repita o processo para a Wlan1, coloque como CLIENTES.
No exemplo estamos recebendo o sinal da internet via cabo (eth1) e vamos distribuir via wireless (wlan1).
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
16
Minicurso de MikrotikConfiguração inicial
Existem várias formas de configurar o Mikrotik para funcionar, a forma que descrevemos abaixo leva menos que 5 minutos.
O quê você precisa saber antes:- Gateway da rede;- Endereço dos servidores DNS; Passo a passo:
1º passo : configurar IP de entrada (placa que recebe a rede/internet);2º passo: configurar IP de saída (placa que vai enviar para a rede/clientes);3º passo: Definir o Gateway de saída;4º passo: Definir os endereços de DNS's;5º passo: Habilitar o NAT (Network Address Translation -> traduz os endereços e portas TCP/IP para a internet);Pronto! Seu servidor Mikrotik já está funcionando!
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
17
Minicurso de Mikrotik1º passo : configurar IP de entrada (placa que recebe a rede/internet);
Suponhamos que eu tenha um modem ADSL ligado à placa de rede eth0 (geralmente a onboard, quando reconhecida) e que o IP desse modem seja 192.168.1.254, pronto, sabemos quem é o Gateway;
A configuração da placa de entrada (eth0) será na mesma classe que o Gateway, ou seja, 192.168.1.x (O "x" pode ser qualquer número de 1 à 253, já que o 254 está ocupado pelo Gateway), vamos configurar então a eth0 (LINK) como 192.168.1.1.
Clique em IP e em Addresses (imagem abaixo)
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
18
Minicurso de Mikrotik
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
19
Minicurso de Mikrotik
Address: IP do Mikrotik/MáscaraNetwork e Broadcast
Interface: Placa que recebe o sinal de internet/red.
Clique no “+”
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
20
Minicurso de Mikrotik
Na tela do Winbox, clique em IP/Addresses, clique no sinal de mais (+) em vermelho e em Address, digite o IP que será o do Mikrotik - tem que estar na mesma classe do modem, se esse for o de entrada, portanto, digite 192.168.1.1/24 (esse /24 é para determinar a máscara de sub-rede, ex: se for 255.255.255.0, significa que os três primeiros octetos serão ocupados, então 3x8=24).
Em interface escolha a placa de entrada, que será a eth0 ou o nome que você deu à ela e clique em Apply (aplicar) que os campos Network e Broadcast serão automaticamente preenchidos com base na range que você digitou.
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
21
Minicurso de MikrotikVamos agora configurar a rota
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
22
Minicurso de MikrotikAgora temos que digitar o IP do Gateway no campo Gateway e se for o IP correto, automaticamente o campo Interface definirá a placa que tem acesso ao modem.
Em
Gate
way c
olo
qu
e o
IP d
o
gate
way e
auto
mati
cam
ente
deverá
ass
oci
ar
à p
laca
de r
ede
(LIN
K)
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
23
Minicurso de MikrotikO próximo passo é configurar os DNS’s:Vai em IP/DNS, clique em SETTINGS
Você
pode u
sar
o D
NS
que
quis
er,
no c
aso
est
am
os
usa
ndo d
o G
oogle
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
24
Minicurso de MikrotikO próximo passo é configurar o NAT, que traduz os endereços e portas TCP/IP para a internet (fora da rede local). Clique em IP/FIREWALL
Em
CH
AIN
esc
olh
a S
RC
NAT
Em
OU
T I
NTER
FA C
E e
scolh
a a
pla
ca d
e r
ede L
INK
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
25
Minicurso de MikrotikAgora clique, na mesma janela, na guia ACTION e defina como MASQUERADE, como abaixo:.
Agora
cliq
ue n
a a
ba A
CTIO
N e
em
AC
TIO
N e
scolh
a
MA
SQ
UER
AD
E
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
26
Minicurso de MikrotikAcabamos de criar uma regra no IPTables que determina que todos os endereços de rede serão traduzidos para um único IP, que no caso é o do LINK.
Pronto!!! Isto já deve fazer a internet funcionar, clique em TOOLS/PING e em PING TO: digite o IP ou um endereço de algum site (no exemplo usamos o www.google.com.br) e veja o retorno.
Você pode usar: TOOLS/PING ou NEW TERMINAL
ping www.google.com.br
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
27
Minicurso de MikrotikPróximo passo, configurar a interface de saída, ou seja, a interface que distribuirá a rede para seus clientes (por isso demos o nome de CLIENTES).
Em
AD
DR
ESS d
igit
e o
IP
/Másc
ara
de r
ede d
e s
aíd
a,
ex:
192
.168.0
.1/2
4 e
sele
cion
e
CLI
EN
TES e
m IN
TER
FAC
E e
cl
ique e
m A
PPLY
.
NETWORK e BROADCAST serão preenchidos automaticamente
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
28
Minicurso de MikrotikVamos criar o servidor DHCP, Primeiro vamos informar o DHCP do modem, para isso, clique em IP/DHCP CLIENT..
Em
IN
TER
FAC
E
sele
cione
a
pla
ca
LIN
K,
que
já
tem
um
D
HC
P
configura
do (
modem
).
DHCP Client: é o DHCP definido pelo modem ou um servidor criado para gerar a faixa de IP da rede
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
29
Minicurso de MikrotikA interface LINK é a que tem um DHCP configurado, que é do modem.
Desmarque a opção Use Peer DNS pois vamos usar o DNS configurado anteriormente e esse DNS configurado é o que vem do modem/provedor;
Deixe marcado: Use Peer NTP, pois é o Gerenciador de Data, padrão do provedor;
Deixe marcado também Add Default routes para que seja adicionada a rota padrão;
Verifique em IP/ROUTES se a rota foi adicionada
A 1
ª lin
ha s
em
pre
é a
últ
ima q
ue f
oi adic
ionada
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
30
Minicurso de MikrotikSe deu certo a configuração o gateway será automaticamente adicionado como DNS primário, verifique em IP/DNS e em SETTINGS
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
31
Minicurso de MikrotikVamos configurar o Servidor DHCP, que criará a faixa de IP dos clientes, porém antes disso temos que definir qual IP inicial e final. Para isso, vamos criar o POOL, clicando em IP/POOL.
DHCP Client: é o DHCP definido pelo modem ou um servidor criado para gerar a faixa de IP da rede
Em NAME coloque POOL, em ADDRESS, coloque: 192.168.0.2-192.168.0.100 – ou seja, as máquinas dos clientes receberão IP à partir do 2 até o 100. (inicial-final)
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
32
Minicurso de Mikrotik
Em ADDRESS, digite o IP inicial - final, ex: 192.168.0.2-192.168.0.100, que vai após o Gateway ou do Mikrotik, até onde você quiser, sempre é bom colocar fora da faixa que contém o IPs reservados (Observe que eu deixei o 192.168.0.1, que é o IP do Mikrotik).
Agora podemos criar o DHCP SERVER.
Para isto, clique em IP/DHCP SERVER, e clique no sinal de “+” ou use o botão CONFIG, que descreve o processo passo a passo.
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
33
Minicurso de MikrotikNAME: Nome amigável para o servidor DHCP, em interface, selecione CLIENTES (destino para a nova range DHCP) , LEASE TIME é o tempo em que o DHCP será renovado, o padrão é 3d 00:00:00 - 3 dias... Ideal é (0d 12:00:00) 12 horas.Marque a opção ADD ARP FOR LEASESEm ADDRESS POOL marque o POOL criado;
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
34
Minicurso de MikrotikFalta definir a rede (NETWORK), o novo Gateway, entre outras configurações.Configure conforme abaixo:
ADDRESS -> endereço de rede, que é foi criado automaticamente quando foi configurado o IP da placa de rede.A NETMASK é a mesma /24DNS Servers será sempre o IP do Mikrotik (no nosso caso), pois é este que será o gateway dos clientes.
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
35
Minicurso de MikrotikO próximo passo é impedir que um cliente “roube” o IP e outro ou que alguém “roube” seu sinal de internet, para isto vamos “amarrar” o IP ao MAC.
Com o MAC do cliente e o IP em mãos (você pode também pegar esses dados (se os clientes já estiverem conectados, claro) em WIRELESS e clicando na aba REGISTRATION.
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
36
Minicurso de Mikrotik
IP A
DD
RESS:
IP d
o c
liente
MA
C A
DD
RESS:
MA
C d
a p
laca
de r
ede
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
37
Minicurso de Mikrotik
De posse das informações, basta cadastrar.
Onde obter MAC e IP do cliente.
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
38
Minicurso de Mikrotik
Agora vai em INTERFACE, dê dois cliques na interface LINK e altere ARP para Reply-only
(Somente repetir).
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
39
Minicurso de MikrotikClique em QUEUES e em “+” e entre com as
informações, como no exemplo abaixo:
NAME-: Nome do ClienteTARGET ADDRESS-> IP do cliente
MAX LIMIT: Faixa de conexão
(mínimo/máximo) em Kilobyte.
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
40
Minicurso de MikrotikBloqueio básico de sites por IPAntes de bloquear um site/serviço pense nos efeitos colaterais que ele vai surtir.Primeiramente dê um PING no site que deseja bloquear e verifique o host dele.Ex: Vamos bloquear o ORKUT
Veja que ele retornou 74.125.36.4Como o Google tem vários servidores para garantir que milhões de pessoas tenham acesso ao serviço, é necessário configurar para o host: 74.125.36.0/24
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
41
Minicurso de MikrotikPara bloquear o site vamos usar o WEB-PROXY, clique em IP/WEB-PROXY
Marq
ue E
NA
BLE
, defin
a a
port
a 3
128 o
u 6
588,
as
dem
ais
co
nfigura
ções
alt
ere
m c
om
o
dese
jar
ou d
eix
e c
om
o e
stá.
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
42
Minicurso de MikrotikPara que o WEB-PROXY, funcione adequadamente, é necessário criar uma regra em IP/FIREWALL/NAT
Em
CH
AIN
sele
cione D
STN
AT,
em
PR
OTO
CO
L se
leci
one
6(T
CP)
Em
IN
. IN
TER
FAC
E s
ele
cione a
pla
ca d
os
CLI
EN
TE
S.
[...
]
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
43
Minicurso de MikrotikNa mesma janela, clique na aba ACTION, em ACTION escolha REJECT (rejeitar) e TO PORT digite a porta do WEB-PROXY
Ess
a r
egra
faz
com
que t
odo
ace
sso (
port
a 8
0)
pass
e p
elo
pro
xy p
rim
eir
o,
para
sab
er
se o
si
te e
stá b
loqueado/p
od
e s
er
ace
ssado.
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
44
Minicurso de MikrotikVolte para o IP/WEB-PROXY, clique em “+” e:Em DST ADDRESS: digite o IP do site que deseja bloquear e em ACTION: selecione DENY
Deve u
sar
o h
ost
do
site
/serv
iço,
do c
ontr
ári
o (
no
caso
do O
rku
t/H
otm
ail/
etc
) quando o
clie
nte
ace
ssar
em
ou
tro s
erv
idor,
não s
eá
blo
queado.
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
45
Minicurso de MikrotikVeja o resultado:
Em SCR. ADDRESS você
pode colocar um IP específico de um cliente para bloquear o orkut somente dele.
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
46
Minicurso de Mikrotik
Considerações finais
Como vimos nesse minicurso, não é muito dificil criar um servidor Mikrotik, bastando ter um conhecimento sobre redes e procurar entender como funciona as ferramentas disponíveis do sistema e mãos à obra.
José
Ferre
ira N
eto
| http
://veia
dig
ital.co
m.b
r
47
Minicurso de Mikrotik
Agradecimentos
À Coordenação do curso de Sistemas de Informação e principalmente ao professor Michel, pela confiança e oportunidade.Aos que participaram do curso e espero que o mesmo seja útil.
Contato:Email: [email protected]: http://veiadigital.com.brTwitter: http://twitter.com/netto_info Facebook: http://facebook.com/nettoinfo