Guia passo Mikrotik

5/9/2018 Guia passo Mikrotik - slidepdf.com

http://slidepdf.com/reader/full/guia-passo-mikrotik 1/112

Guia passo-a-passo do Mikrotik

Tabela de conteúdo

y 1 Prefácio y 2 Configurações iniciais y 3 Configurando o Mikrotik (LINK ou MODEM ROTEADO) y 4 A PROPOSTA DOS TÓPICOS y 5 Como amarrar IP/MAC y 6 Configurando o WEB-PROXY y 7 Controle de banda y 8 Acesso remoto a outro Mikrotik y 9 Controle P2P (MUITO BOM) y 10 BACKUP e restauração y 11 Limitar conexões por cliente y 12 Servidor PPPoE e Cadastro de Clientes y 13 Amarrar faixa de IP no DHCP y 14 Configurando o HOTSPOT y 15 Configurações dos cartões Wireless y 16 Entendendo cada função do menu do WINBOX

o 16.1 SUB-MENU IP o 16.2 SUB-MENU ROUTING o 16.3 SUB-MENU SYSTEM

y 17 Instalação do MIKROTIK (Link Dedicado)

o

17.1 Colocando ip Dedicado no cliente y 18 Configurando Servidor de Hora Automático y 19 Lista de SCRIPTS e AGENDAMENTOS utéis y 20 Configurando Liberação Automática de Banda por hora determinaday 21 LOADBALANCE - Visão Geral e Aplicação y 22 LOADBALANCE - IPD X IPD

o 22.1IPD(IP DEDICADO) o 22.2 Tratamento de portas



y 23 LOADBALANC - DIVIDINDO CAR A DE FORMAPER ONALIZADA ENTR E OS LINKS

o 23.1 Tratament de por tas y 24M como AP-br idge y 25 FIR EWALL y 26 Gráf icos em Tempo R eal do Mi

roti y 27 Sobre o autor

Prefáci

ÚLTI A ATUALIZAÇÃO: 25 03 2008

R estruturando este passo a passo, busco mais uma vez facilitar para os novatosdeste excelente sistema, ensinando aqui mesmo, o básico para fazer um servidor mi roti funcionar. Apresento o início, aquilo que não gostam de ensinar, sem omissão,sem enrolação. Para todos aqueles que querem aprender ou conhecer o mi roti , aqui está a forma mais simples de "rodar" um servidor básico para aprendizagem ou mesmo

para iniciar suas exper iências. Lembre-se, estou dizendo o básico e isso não signif ica "oservidor". Para os "aventureiros", não recomendo colocar um servidor mi roti , nãoconf igurado (com conf igurações básicas), em produção (em funcionamento no

provedor). Tenho visto muita gente se decepcionando com o mi roti , pelo simples fatode conseguir conf igurar o básico (que irei apresentar abaixo) e achar que é tudo. Umservidor, para rodar perfeitamente, precisa de no mínimo, conf igurações "obr igatór ias",

para evitar os velhos problemas conhecidos (perdas de pacotes, lentidão, etc). Falo euCATVBR ASIL (David), que já atendi mais de 500 empresas por todo o Brasil,Argentina, Chile, USA, Itália, Por tugal e etc... Lembre-se, conhecimento é tudo...Estudem bastante e assim que possível, se especializem, façam treinamentos (existemvár ios), tirem suas dúvidas, par tici pem do forum do under-linux (um dos maiscompletos do Brasil, em termos de mi roti ) e etc....

Busquei neste passo a passo, ajudar, de cer ta forma, aqueles que sentem dif iculdade para realizar simples tarefas neste SO, Mi roti . Basicamente a estrutura de todo este passo-a-passo é a fácil execução dos procedimentos, or ientados por simples textos eimagens.

Agradeço a todos, que colaboraram direta ou indiretamente pela realização deste.

É expressamente proi i a a VENDA ou qualquer outra forma de remuneração

por meio deste material. É permitido divulgar, colaborar, inserir artigos ou

correções neste material. Não esqueça de indicar o autor e a origem do material.

Desenvolvi este manual passo-a-passo, para auxiliar a todos iniciantes ou não desteexcelente sistema operacional para roteadores.



ATENÇÃO: É GRÁTIS!! TUDO QUE ESTÁ AQUI É GRÁTIS!! DAI DE GR AÇA OQUE R ECEBEU DE GR AÇA!!!

Conf igurações iniciais

Parte retirada do treinamento a distância de mi roti - CATVBR ASIL

CONFIGUR ANDO UM SER VIDOR MIK R OTIK BÁSICO (MÉTODOR ELÂMPAGO)

Para conf igurar um servidor Mi roti é muito fácil e rápido e você pode conf igurá-lo em 2 minutos no máximo!!! Consideramos que este servidor não terá placas wireless,apenas 2 placas ethernets (1 de entrada e 1 de saída).

Para colocar um servidor Mi roti , precisamos conf igurar apenas:

y IP>ADDRESS (def ine o endereço IP para a interface de entrada e de saída) y IP>R OUTES (def ine o gateway de saída) y IP>DNS (def ine o DNS primário e secundário) y REGR A DE NAT (IP>FIREWALL>NAT) (def ine o NAT mascarado)

SOMENTE ESTAS CONFIGUR AÇÕES SÃO NECESSÁR IAS PAR ALEVANTAR UM SER VIDOR MIK R OTIK BÁSICO. ESTE SER VIDOR JÁ ESTARÁ ³FUNCIONANDO´. NOTEM QUE EU DISSE ³FUNCIONANDO´ APENAS.FUNCIONAR NÃO É TUDO!!!

Conf igurando o Mi roti (LINK ou MODEM

R OTEADO)

Vamos lá mãos a obra!!

1º passo: CONFIGUR AR O ENDEREÇO (ADDRESS):

Abra o menu IP > ADDR ESS



Cr ie um novo endereço IP (dentro da faixa do seu link ou modem, com a máscarade rede). Não esqueça de def inir a interface correta a qual seu roteador ou modem estáligado, caso contrár io poderá não funcionar.

Após cr iar o endereço, e clicar em OK, automaticamente os endereços de network e broadcast serão preenchidos. Estes endereços são cr iados automaticamente de acordocom a máscara de rede.



2º passo: CONFIGUR AR A R OTA DE SAÍDA (R OUTER):

Abra o menu IP > R OUTES

Cr ie uma nova rota, e def ina apenas o endereço de gateway (este é o endereço doseu roteador ou modem). Não é necessár io colocar a máscara de rede. Note que seestiver tudo cer to, o campo "interface" desta nova regra, será preenchidoautomaticamente (com a interface onde está ligado seu modem ou roteador)



3º passo: CONFIGUR AR O DNS:

Abra o menu IP > DNS

Abra o botão "settings" e conf igure o DNS pr imár io e secundár io do seu link.

4º passo: CONFIGUR ANDO O NAT:

Abra o menu IP > FIR EWALL > NAT



Cr ie uma nova regra

Em ³C AIN´ escolha a opção ³srcnat´, em OUT INTER FACE (SAÍDA), não precisa escolher a interface de saída.

Na aba ³ACTION´, escolha a opção ³MASQUER AD´.



EXTR A

Passo adicional:CONFIGUR ANDO UM MK COM ADSL - MODEM EMBR IDGE:

Abra o menu INTER FACE



Clique com o botão direito, em cima da interface do ADSL, e escolha a opção"PPPOE CLIENT"

Na aba DIAL OUT, conf igure os campos:



*USER : nome de usuár io da cont ADSL ([email protected])

*PASSWORD: senha da conta ADSL

Deixar marcado as opções:

*ADD DEFAULT R OUTER

*USER PEER DNS

Mantendo estas duas opções marcadas, você não irá precisa conf igurar o IP e aR OTA (deve-se pular os passos 1 e 2 deste ar tigo). Dando um OK, automaticamente odiscador PPPoE irá se conectar e já estará pronto para trabalhar.

5º passo: CER TIFICANDO QUE TUDO ESTÁ FUNCIONANDO

PERFEITAMENTE:

Bom, como saber se tudo que foi conf igurado está funcionando perfeitamente? Nowinbox, há uma opção chamada "new terminal" que como o pr ó pr io nome sugere, é umterminal de comando do mikrotik. Lá temos vár ios comandos (podemos ver if icar,



apenas aper tando "?", dentre eles o conhecido "ping". Para testar a funcionabilidade denosso servidor mikrotik, basta "pingar" um endereço qualquer (www.uol.com.br) ever if icar se há resposta. Havendo resposta, nosso servidor já está "navegando" nainternet, caso não haja resposta, signif ica que há algum problema na conf iguração(bastando iniciar novamente este manual e ver if icar onde está acontecendo o erro)...Podemos também através do comando de ping, ver if icar o "estado" de nosso roteador,

link, dns, etc etc...

A PR OPOSTA DOS TÓPICOS

Abaixo, apresento vár ias soluções e regras procuradas por muitos, de uma formasimples e descomplicada. A proposta abaixo é resolver algumas das dúvidas cotidianas.Já vi muita gente falando no forum que conf igurou seu servidor com as regras esoluções abaixo e não f icou "aquele" servidor. Quero lembrar mais uma vez, que asregras e soluções apresentadas abaixo, funcionam perfeitamente, mas não são a soluçãocompleta. Elas resolvem algumas coisas, mas para um servidor funcionar perfeitamente,

é necessár io outras conf igurações...

Como amarrar IP/MAC



Acesse o menu IP, AR P

Cr ie uma nova ³AR P´ (botão ³+´)



Digite o IP da máquina a qual quer amarrar, o MAC ADDR ESS e a INTER FACE aqual a máquina será ligada.

Em COMMENT, dê o nome desta AR P, como no exemplo acima.

Acesse o menu, INTER FACE



Como último procedimento, você deve habilitar em sua interface, o AR P parareply-only.



Conf igurando o WEB-PR OXY

Acesse o menu IP, WEB-PR OXY

Clique no botão ³SETTINGS´



Deverá aparecer uma tela como esta

Conf igure de acordo com suas necessidades...

y SRC-ADDR ESS = Deixe em brancoy POR T = Escolher a por ta do seu web-proxyy TR ANSPAR ENT PR OXY = Deixe marcado para proxy transparentey PAR ENT POR T = Deixe em brancoy PAR ENT PR OXY POR T = Deixe em brancoy CACHE ADMINISTR ATOR = Deixe como estáy MAXIMUM OBJECT SIZE = Deixe como estáy CACHE DR IVE = Deixe como ³system´y MAXIMUM CACHE SIZE = Def ine o tamanho do seu cache, var ia de acordo

com o tamanho do seu HDy MAXIMUM R AM CACHE SIZE = Def ine o tamanho máximo de sua memór ia

R AM para o cache

Após conf igurar estes parâmetros, aper te a tecla ³ENABLE´

NÃO se deve fazer CACHE de PÁGINAS DINÂMICAS (bancos, globo.com, etc

etc...)

Duas regras devem ser colocadas na aba "CACHE" do Web-Proxy para esse efeito:

IP / WEB-PR OXY / CACHE

Cr ie uma nova regra (botão ³+´)



add ur l=":cgi-bin \\?" action=deny comment="no cache dynamic htt p pages"disabled=noadd ur l="htt ps://" action=deny comment="no cache dynamic htt ps pages" disabled=no

O segundo passo para nosso WEB-PR OXY funcionar é cr iar um regra pararedirecionar as requisições pr imeiramente para o proxy, para isso:

Acesse IP, FIR EWALL



Escolha a aba ³NAT´


Cr ie a regra da seguinte forma:

*CHAIN = DSTNAT*PR OTOCOL = 6 (TCP)* <r> *DST. POR T = 80*IN. INTER FACE = INTER FACE DOS CLIENTES

Vá na aba ³ACTION´



Escolha em ³ACTION´ a opção ³R EDIR ECT´ e em ³TO POR T´ escolha a por tado seu proxy (def inida anter iormente no começo deste tó pico).

É interessante realizar uma regra para cada interface de assinantes. Neste caso como possuo duas interfaces (LAN/WLAN), cr iei duas regras, uma para cada interface.

É impor tante cr iar uma regra de bloqueio externo ao web-proxy. Caso você não cr ieesta regra, ela sobrecarregará o seu proxy, travando até mesmo seu servido. Siga abaixo:

Acesse o menu IP, FIR EWALL

Acesse a aba ³FILTER R ULES´




Segue a conf iguração:

*CHAIN = INPUT**PR OTOCOL = 6 (TCP)



*DST POR T = POR TA DO SEU WEB-PR OXY*IN. INTER FACE = INTEFACE DE SAÍDA (LINK DE INTER NET)

Acesse a aba ³ACTION´

Em ³ACTION´ escolha a opção ³drop´.

EM COMMENT você pode dar um nome a regra, que neste caso foi apelidado de

³BLOQUEIO DO PR OXY EXTER NO´.

Com este passo-a-passo, você cr iou e habilitou o seu web-proxy e também tornoumais ef iciente, bloqueando o acesso externo a ele.

CACHE FULL

IP > FIR EWALL > MANGLE > +



QUEUES > +



Eu Explico depois

Controle de banda

Acesse no menu, QUEUE



Cr ie um novo controle de banda (botão ³+´)

Conf igure como abaixo:

*NAME = Nome do "dono" da conf iguração ± Nome do cliente*TAR GET ADDR ESS = IP que irá controlar a banda*TAR GET UPLOAD ± MAX LIMIT = Taxa de upload (Colocar ³k´ Minúsculo no



f inal)*TAR GET DOWNLAOD ± MAX LIMIT = Taxa de download (Colocar ³k´ minúsculono f inal)

Controle de banda concluído. Somente isso é necessár io.

Acesso remoto a outro Mi roti

PS: Para ter acesso a rádios AP em sua rede, você deverá habilitar a função³ATIVAR GER ENCIAMENTO PELA POR TA WAN´ do seu rádio.

Simples. Basta cr iar tr ês regras no f irewall. Segue abaixo:


Clique na aba ³NAT´




Siga os procedimentos de conf iguração abaixo:

*CHAIN = DSTNAT*DST. ADDR ESS = Endereço IP do MK pr inci pal



*PR OTOCOL = 6 (TCP)*DST. POR T = 4040 (Por ta padrão do Firewall)

Abra a aba ³ACTION´

Siga as conf iguração abaixo:

*ACTION = DSTNAT

*O ADDR ESS = Endereço IP do AP que deseja acessar.*TO POR T = Por ta de acesso do AP

Conf irme e dê um nome em COMMENT para sua regra.

Se o AP que você deseja acessar for um outro AP Mikrotik, você deverá escolher a por ta padrão TELNET (23). Se for um AP rádio, escolha a por ta padrão HTTP (80) ououtra escolhida no rádio.

Você deverá cr iar uma segunda regra:



R epetindo o mesmo procedimento acima, mas desta vez, alterando apenas o protocolo para 17 (UDP).

Salve tudo e cr ie a terceira regra.



Nesta regra, você irá def inir um endereço IP para seu AP. Ver if ique com suaoperadora quais endereços IP você tem e quais estão sobrando.

Cr ia a regra como abaixo:

*CHAIN = DSTNAT*DST. ADDR ESS = Endereço IP livre, a qual será atr i buído ao seu rádio ou APMIK R OTIK.

*PR OTOCOL = 6 (TCP)*DST. POR T = Por ta de acesso ao AP ou rádio. Se você for acessar outro AP peloWINBOX, selecione a por ta 8291 (POR TA PADR ÃO DO WINBOX), se você for acessar um rádio, a por ta padrão é a 80 ou outra pré-def inida do rádio.




Nesta aba você irá conf igurar da seguinte forma:

*ACTION = DST-NAT*TO ADDR ESS = Endereço IP do seu rádio ou AP (endereço de IP da rede interna)*TO POR T = Por ta padrão para o WINBOX (AP MIK R OTIK) ou por ta padrão pararádios, por ta 80 (ou outra def inida).

Pronto!!! Para ter acesso a AP MIK R OTIK, vá no WINBOX, digite o IP válido

def inido acima, senha e login. Para ter acesso a rádios, abra o internet explorer, digite oendereço IP válido def inido acima... Abr irá um box para senha e login... Digite-as e sejafeliz!!!

Não esquecer de adicionar os IP's válidos que serão usados para os rádios naADDR ESS LIST. Como??

Acesse o menu IP, ADDR ESS LIST



Cr ie uma nova lista de endereços (botão ³+´)

De acordo com seu link, coloque o novo IP válido, o Ip da "NETWOR K e o IP doBR OADCAST. Def ina também a interface (Neste caso, a interface de saída da internet)

Controle P2P (MUITO BOM)

Aqui você irá aprender a controlar (shape) o tráfego P2P, marcando pacotes,facilmente. Basta apenas 4 regr inhas, 2 no f irewall e 2 no queue. Então vamos lá:




Escolha a aba, MANGLE




No campo "CHAIN", escolha "PR ER OUTING". No campo "P2P", escolha "all- p2p".




No campo "ACTION", escolha "MAR K CONNECTION". No campo "NEWCONNECTION MAR K", dê um nome a sua nova marcação de pacotes (no exemplo,demos o nome de "p2p_conn". Deixe a opção "PASSTHR OUGH" ligada. Conf irme.


No campo "CHAIN", escolha "PR ER OUTING". No campo "CONNECTIONMAR K" escolha a opção com o nome def inido acima (no nosso caso foi "p2p_conn".




No campo "ACTION", escolha "MAR K PACKET", no campo "NEW PACKETMAR K", def ina outro nome (no nosso caso, f icou como "p2p". Conf irme.

Após cr iar estas duas regras no f irewall, será necessár io cr iar mais duas regras noqueue. Para isso:

Abra o menu, QUEUE



Abra a aba "QUEUE TR EE"


Def ina de acordo com a f igura.

*NAME = Def ina um nome para a regra*PAR ENT = Escolha "GLOBAL-IN"*PACKET MAR K = Escolha a opção do nome escolhido acima. Aparecerá aqui onome def inido na regra do f irewall *QUEUE TYPE = DEFALT*PR IOR ITY = 8

*MAX LIMIT = Def ine o limite máximo de banda reservado para o P2P. No nossocaso, é um total de 200k para p2p

Conf irme...


Def ina de acordo com a f igura.

*NAME = Def ina um nome para a regra*PAR ENT = Escolha "GLOBAL-OUT"*PACKET MAR K = Escolha a opção do nome escolhido acima. Aparecerá aqui onome def inido na regra do f irewall *QUEUE TYPE = DEFALT

*PR IOR ITY = 8*MAX LIMIT = Def ine o limite máximo de banda reservado para o P2P. No nossocaso, é um total de 200k para p2p Conf irme...

Pronto!!! Moleza!!! Agora o tráfego P2P, será limitado por marcação de pacotes.Esta regra é muito ef iciente!!



BACK UP e restauração

Abra o menu, FILES

Para cr iar uma có pia de backup, clique em "BACKUP"



Em "FILE NAME", aparecerá o novo BACKUP. Esta có pia estará armazenada noHD do MIK R OTIK. Para copiar este backup em outro computador, clique em "copy"(como na f igura) e cole em qualquer pasta no windows.

Para restaurar o seu backup, escolha a có pia desejada na "FILE NAME" e clique em"R ESTOR E", como abaixo.



Você também poderá restaurar uma có pia de backup, que encontra-se no seuwindows, por exemplo. Para isso, no seu sistema operacional, selecione o arquivo do

backup e com botão direito do mouse, escolha "COPIAR " (COPY). Vá na janela de backup do seu MIK R OTIK e clique em "paste" (como na f igura).



Selecione esta nova có pia do backup (aparecerá na lista) e aper te em "R ESTOR E"

Após realizar a restauração do backup, reinicie o seu MIK R OTIK.

Estamos tratando apenas de backup realizados pela "winbox", seja ele remotamente ouno pr ó pr io servidor.

Limitar conexões por cliente

Simplérr imo!!




Na aba "FILTER R ULES", cr ie uma nova regra (botão "+").

Conf igure da seguinte forma:



CHAIN = FOR WAR DSRC. ADDR ESS = ENDER EÇO DO CLIENTE A QUAL APLICARÁ O LIMITE.PR OTOCOL = 6 (TCP)

Agora abra a aba "ADVANCED"

Em "TCP FLAGS", escolha a opção "SYN" (este comando é responsável pelorecebimento da requisição de conexão do cliente e também pelo aviso de que a por taestá ou não disponível

Abra a aba "EXTR A"



Em "CONNECTION LIMIT" / "LIMIT", def ina o número de conexões máximas para este cliente.

No campo "NETMASK", def ina a máscara 32 (32 signif ica que a regra seráaplicada apenas a este IP)

Agora abra a aba "ACTION"



EM "ACTION", escolha a opção "DR OP".

Basicamente esta regra li bera N conexões simultâneas para o cliente, bloqueandorequisições de conexões acima do limite.

Conf igure de acordo com suas necessidades

Caso deseje aplicar a regra para um range de IPs completo, conf igure o IPXXX.XXX.XXX.0 e o NETMASK para 24.

Servidor PPPoE e Cadastro de Clientes

Abra o menu PPP



Clique na aba "PR OFILES"

Cr ie um novo prof ile (botão "+")



Conf igure este novo prof ile de acordo com suas necessidades. Basicamenteconf igure assim:

NAME = Nome do prof ile.USE COMPR ESSION = NOUSE VJ COMPR ESSION = NO

USE ENCR YPTION = NOCHANGE TCP MSS = YES

O outros campos deixe em branco, conforme a f igura acima.

Conf irme e abra a aba "INTER FACES" (na janela PPP mesmo) e clique no botão"PPPoE SER VER ".



Na janela "PPPoE SER VER LIST", cr ie um novo servidor (botão "+")

Conf igure de acordo com suas necessidades. Basicamente como abaixo:



Parâmetros:

SER VICE NAME = Nome do servidor PPPoE.INTER FACE = Interface com que este servidor irá trabalhar.MAX MTU = Taxa máxima de transmissão. Basicamente deixe em 1500 para clientescom winxp pra cima e 1452 para clientes com win98 pra baixo e clientes que utilizam

discador R ASPPPOE.MAX MR U = Taxa máxima de recepção. Conf igurar conforme acima.KEEPALIVE TIMEOUT = Tempo máximo quem uma conexão retornará um erro.Basicamente deixe em 10.DEFAULT PR OFILE = Lembra do prof ile que você cr iou? É aqui que todas estasconf igurações f icarão incorporados a ele. Basicamente o prof ile é um atalho de todasestas conf igurações.ONE SESSION PER HOST = Esta opção permite que login e senha de um cliente(cadastrado no servidor pppoe), conecte por vez. Isto é interessante, pois evita quevár ias pessoas conectem ao mesmo tempo com apenas um login e senha. Deixemarcado.MAX SESSION = Def ine o número máximo de conexões a este servidor. Basicamente

deixe em branco mesmo.AUTENTICATION = Para haver compati bilidade com todos os serviços de discagemdisponíveis, deixe todas marcadas.

Você poderá cr iar vár ios servidores PPPoE. Cada um atendendo uma determinadainterface e um determinado sistema operacional, como no exemplo abaixo:



Para cadastrar clientes é bem fácil. Após cr iar seu servidor PPPoE, basta clicar naaba "SECR ETS"

Para cr iar uma nova conta, aper te no botão "+"



Conf igure de acordo com suas necessidades:

NAME = Login do assinante. Pode conter @xxxxxxx.com.br ou não.PASSWOR D = Senha de acesso.SER VICE = Escolha PPPoe.CALLER ID = Def ine qual MAC Adress f icará amarrado esta conexãoPR OFILE = Def ine o prof ile que será amarrado esta conexão.R EMOTE ADDR ESS= Endereço do Gateway (normalmente a faixa de IP utilizada com

f inal 254)LOCAL ADDR ESS = Endereço IP desta máquina (preferencialmente dentro da faixa deIP do LOCAL ADR ESS)R OUTER S = Def ine roteamento. Deixar em branco.LIMITY BYTES IN = Limita o número de bytes de entrada. Deixar em branco.LIMITY BYTES OUT = Limita o número de bytes de saída.

Conf irme tudo e pronto. No computador do cliente basta cr iar uma conexão PPPoEcom esta senha e login e mandar conectar.

Amarrar faixa de IP no DHCP

Um dos recursos mais interessantes em rede é o DHCP, ainda hoje eu me perguntocomo os administradores conseguem trabalhar sem ele, pois ele faz todo o trabalho deconf iguração da interface de rede, seja ela Linux, Windows ou outra qualquer, com oDHCP você pode alterar as conf igurações de gateway, DNS, faixa de IP do cliente emáscara tudo sem precisar ir na casa dele, você altera no Mikrotik e pede pro clientereparar a rede ou reiniciar o computador e está resolvido.



R esolvi dar minha contr i buição neste wik i sobre esse assunto que tanto gosto e convivotodos os dias.

Comece clicando na opção IP -> POOL

Clique no botão "+" e adicione o pool1.Em address: você coloca a faixa de rede que quer atr i buir aos clientes.Ex: 192.168.2.5-192.168.2.199 está bem claro não?Clique em OK

Depois clique em IP -> DHCP Server:Clique no botão "+" e adicione o SER VER :



M

No mesmo menu, clique na ABA "Networks" :

Clique na aba Leases: É nela que vc vai amarrar os IPs no DHCP



Pronto seu DHCP Server está ativado.

Conf igurando o HOTSPOT

Para conf igurar um Hotspot utilizando o Winbox, é necessár io que as interfacesestejam conf iguradas e online. Vá para o menu IP ->Hotspot:

Em seguida, clique em Setup. As imagens a seguir mostram as pr inci pais telas deconf igurações:

Na imagem 1, você irá selecionar em qual interface estão os clientes do Hotspot. Naimagem 2, você pode aceitar o endereço padrão da interface ou atr i buir um outro para oHotspot. Na imagem 3, escolha a faixa de IPs que os cliente usarão e por último, def inaum DNS válido para esta rede.Ao f inal destes passos, você terá que cr iar o pr imeiro usuár io para acessar o Hotspot. O

pr ó pr io assitente sugere o usuár io Admin, digite uma senha para ele e o assistenteconcluirá a conf iguração.Agora, você já pode testar, dentro da rede local, basta tentar acessar qualquer endereço

externo, digite o usuár io e senha e pronto.

Somente uma coisa que quero adiconar, é que todo sempre tem a dif iculdade de linkar ohotspot com o web-proxy....ai todos achãoque estão errando na conf igurãção e acabamlotando os foruns de topicos.... Pessoal para funcionar o HOTSPOT com o WEB-PR OXY precisa cr iar uma regra para a requisição ir para a por ta do hotspot e não pra

por ta 80 direto... -> IP -> FIR EWALL -> NAT ->

add ->chain=pre-hotspotsrc-address=IP da R ede dos Clientes Protocol=6(tcp)Dst.Por t=80 In. interface=Interface dos clientes " Na guia Extra va em Hotspot eselecione a opção "auth" e na guia Action deixei em Action=redirectToPor ts=Por ta do

Web-proxy .

Conf igurações dos cartões Wireless

olá pessoal, vou ensinar aos poucos como cr iar um AP em modo Br idge Para queos clientes se conectem a sua rede, somente desejo que não liguem para os Pr ints, poismeu monitor é de 14' preto e branco ai sai meio cor tada.....

Arquivo:Imagem1.PNG Pr imeramente clique na opção Wireless, abilite o car tão, e de um duplo-cliquenele. em Name: de um nome para ele, lembrando que isto não é o nome que o Apreceberá. em AR P deixe R eply-only se for controlar via arplist. de OK...Continua....

Entendendo cada função do menu do WINBOX

Em construção

O pr imeiro menu do lado esquerdo chama-se " Interfaces ", é nele que se consegueenxergar os dispositivos f isicos conectados ao mikrotik, tais como placas de rede, placaswireless e etc ..; é neste menu também que se cadastra a interfaces vir tuais como PPoeserver, br idge, vir tualap e etc ... basta apenas clicar no Sinal de "+" e adicionar ainterface desejada.R esponde também pelo comando " interface " no terminal do mikrotik.



O segundo menu, - Wireless - É nele que se pode abilitar e desabilitar as interfaceswireless ( Como car tões PCMCIA - Car Mini-PCI Wireless ( Basta apenas clicar noSinal de "+" e adicionar a interface desejada. )



O terceiro menu, - PPP - É nele que se pode cr iar, editar e remover conexões PPPoePPTP e L2TP, também é onde se conf igura servidores dos mesmos serviços, conf igurasenhas para discadores dos seus clientes e adiciona perf is de discagem.

O quar to menu, - Br idge - É nele que se pode cr iar, editar e remover Br idges(Pontes entre as interfaces).



O sexto menu, - Queues - É nele que se limita velocidade por IP ou faixa de IPs outambém por Interface.



O sétimo menu, - Dr ivers - É onde se obtem a lista de dr ivers de Car tões Wireless ePlacas de R ede.



O oitavo menu, - Files - Abre um navegador no qual pode-se ver os arquivos queestão no HD, também é onde se cr ia Backup e restaura os mesmos.



O nono menu, - Log - É onde se ver o log do seu sistema.

O decimo menu, - SM NP - É onde se conf igura o smnpcomunitydo seu sistema.



O décimo-pr imeiro menu, - users - É onde se cadastra e remove usuár ios dosistema.



O Décimo-Quinto menu, - Password - é onde se a ltera a senha do seu Mikrotik



O vigésimo, - Exit - Fecha a sua sessão do Winbox.



SUB-MENU IP

address: onde se adiciona endereços as interfaces de rede.

R outes: onde se coloca as rotas estáticas e regras de rotemaneto.



SUB-MENU R OUTING



SUB-MENU SYSTEM



Instalação do MIKR OTIK (Link Dedicado)

Utilizo link dedicado da brasiltelecon, funciona assim, eles dao por exemplo 128 i ps= faixa de 201.2.180.1 até 201.2.180.127, sendo o 201.2.180.1 o gateway, entao eh sohcolocar o i p no servidor 201.2.180.2, e gateway e pronto..

Colocando ip Dedicado no cliente

Se o cliente quer i p dedicado, cadastro ele na rede interna ex: 192.168.2.50 eadiciono mais um i p na interface do link 201.2.180.10 e faco uma regr inha no /i pf irewall nat

add chain=dstnatdst-address=201.2.180.10 protocol=tcpdst-por t=0-65535 \action=dst-nat to-addresses=192.168.2.50 to-por ts=0-65535 \comment="Direcionando IP 192.168.2.50 para 201.2.180.10" disabled=no

Conf igurando Servidor de Hora Automático

Aqui você irá aprender a conf igurar servidores NTP (network time protocol)automaticamente no mikrotik, via servidor de internet... Muito útil para quem trabalhacom regras baseadas no horár io e não pode ter hora errada, adianta ou atrazada.

Pr imeiro procedimento, abra o menu "NTP CLIENT"



Conf igure como abaixo:



MODE - Escolha a opção "UNICAST"PR IMAR Y NTP SER VER = 159.148.60.2SECONDAR Y NTP SER VER = 159.148.60.2

Após conf igurar, aper te o botão ENABLE".Abra o menu "CLOCK".

Conf igure o campo "Time Zone" de acordo com o fuso horár io da sua cidade.



Você deve se basear no horár io mundial (Greenwich). Aqui no Rio de Janeiro, é -2:00 de diferença.

Pronto!! Agora não precisa mais se preocupar com a hora cer ta do seu sistema!!!

Lista de SCR IPTS e AGENDAMENTOS utéis

Lista de Scr i pts prontos!!

TODOS OS SCR IPTS DEVEM SER INSER IDOS VIA WINBOX NO MENU

SYSTEM>SCR IPTS OU VIA "NEW TERMINAL" /system script

SCR IPT PAR A REBOOTAR AUTOMATICAMENTE

y add name="reboot" source="/system reboot" \y policy=f t p,reboot,read,wr ite,policy,test,winbox,password

SCR IPT PAR A BACK UP AUTOMÁTICO DO MIKR OTIK

y add name="backup_diar io" source="/sybasav name=mk_bkp.backup" \y policy=f t p,reboot,read,wr ite,policy,test,winbox,password



SCR IPTS PAR A HABILITAR E DESABILITAR TODA A BANDA

DESABILITA

y add name="queue_disable" source="/queue simple { disable \[f ind \y name=LIBER A_TUDO\] }" \y policy=f t p,reboot,read,wr ite,policy,test,winbox,password

HABILITA

y add name="queue_enable" source="/queue simple { enable \[f ind \y name=LIBER A_TUDO\] }" \y policy=f t p,reboot,read,wr ite,policy,test,winbox,password

AGENDAMENTOS ÚTEIS

Devem ser aplicados via winbox (menus system>scheduler) ou via "newterminal" em / system scheduler

AGENDAMENTO PAR A REBOOT DE 15 EM 15 DIAS

y add name="reboot" on-event=reboot star t-date=nov/15/2006 star t-time=06:05:00 \

y interval=4w2d comment="R EBOOT DE 15 EM 15 DIAS" disabled=no

AGENDAMENTO PAR A BACK UP AUTOMÁTICO DE 6 EM 6 HOR AS

y add name="backup diar io" on-event=backup_diar io star t-date=jan/16/2007 \y star t-time=00:00:00 interval=6h comment="CR IA BACKUP DE 6 EM 6

HOR AS" \y disabled=no

Conf igurando Liberação Automática de Banda por

hora determinada



LOADBALANCE - Visão Geral e Aplicação

Balanceamento de carga

Todo o hardware tem o seu limite, e muitas vezes o mesmo serviço tem que ser repar tido por vár ias máquinas, sob pena de se tornar congestionado. Estas soluções

podem-se especializar em pequenos grupos sobre os quais se faz um balanceamento decarga: utilização do CPU, de armazenamento, ou de rede. Qualquer uma delas introduzo conceito de cluster ing, ou serverfarm, já que o balanceamento será, provavelmente,feito para vár ios servidores.

Balanceamento de armazenamento (storage)

O balanceamento do supor te de armazenamento permite distr i buir o acesso asistemas de f icheiros por vár ios discos (sof tware/hardware R AID), pelo que der ivamganhos ó bvios em tempos acesso. Estas soluções podem ser dedicadas ou existir emcada um dos servidores do cluster.

y Soluçõesy R AIDy StorageArea Network



Figura 1 - Balanceamento de carga (NAT).

Figura 2 - Balanceamento de carga (DirectR outing).



Balanceamento de rede

O balanceamento da utilização da rede passa sobretudo por reencaminhar otráfego por caminhos alternativos a f im de descongestionar os acessos aos servidores.Este balanceamento pode ocorrer a qualquer nível da camada OSI.

A Figura 1 sugere a existência de um mecanismo/dispositivo responsável pelo balanceamento (director). Na verdade, ele pode existir sob vár ias formas, dependendodo(s) serviço(s) que se pretende balancear. Este director serve também de interface entreo cluster de servidores e os clientes do(s) serviço(s) - tudo o que os clientes conhecem éo endereço semi-público deste servidor. Esta abordagem (clássica) é algo limitada, emtermos de escalabilidade, ao número de tramas que o director consegue redireccionar,

pr inci palmente devido à velocidade dos buses das placas de rede. Existem, no entanto,outras soluções mais complexas que tiram melhor par tido das características do

protocolo TCP/IP em conjunto com routing especializado (NAT, IP Tunneling,DirectR outing).

Exemplo Um exemplo de um site a utilizar técnicas de balanceamento de carga é

a pr ó pr ia Wik imedia Foundation e os seus projectos. Em Junho de 2004, a carga era balanceada usando uma combinação de:

R oundrobin DNS, que distr i bui os pedidos uniformemente para um dos tr êsservidores de cache Squid;

Estes servidores de cache usam os tempos de resposta para distr i buir os pedidos para cada um dos sete servidores de páginas. Em média, os servidores Squid já têm emcache páginas suf icientes para satisfazer 75% dos pedidos sem sequer consultar osservidores de páginas; Os scr i pts PHP que formam a aplicação distr i buem a carga paraum de vár ios servidores de base de dados dependendo do ti po do pedido, com as

atualizações indo para um servidor pr imár io e as consultas para um ou mais servidoressecundár ios.

Soluções (sof tware) Existem soluções que operam exclusivamente em apenasalgumas camadas (níveis) do Modelo OSI:

y Nível 4: Linux Vir tual Server y Nível 5/6/7: Zeus LoadBalancer

Balanceamento de CPU

Este ti po de balanceamento é efectuado pelos sistemas de processamentodistr i buído e consiste, basicamente, em dividir a carga total de processamento pelosvár ios processadores no sistema (sejam eles locais ou remotos).

*Fonte: Wik ipedia



Aplicação:

Tenho visto muitas pessoas confusas, quanto a aplicação do loadbalance...Algums sugerem colocar lo5 ou 10 links, pelo fato de ser "melhor"... Para que todos

possam aproveitar o máximo dos recursos do loadbalance e também não gastar dinheirodesnecessar iamente, deixemos claro as seguintes coisas:

Loadbalance, como o pr ó pr io nome diz é "BALANCEAMENTO DE CARGA" ou seja, divisão de carga da sua rede e entre os links... Muitas pessoas se enganam eacham que loadbalance soma link (1mb + 1mb = 2mb), o que não é verdade;;; Para ter omáximo de desempenho em uma técnica de loadbalance, devemos pr imeiramenteanalizar as necessidades de cada rede, para ae sim, cr iar um loadbalance com o máximode desempenho para nossa rede...

ligação externa

LOADBALANCE - IPD X IPD

y LOADBALANCE - ADSL X IPDy LOADBALANCE - ADSL X ADSL

IPD(IP DEDICADO)

/ i p f irewall mangleadd chain=prerouting in-interface= Link1 connection-state=new nth=1,1,0 action=mark-

connectionnew-connection-mark=Link1 passthrough=yes comment="Balanceamento de carga"disabled=noadd chain=prerouting in-interface= Link1 connection-mark=Link1 action=mark-routingnew-routing-mark=Link1 passthrough=no comment="" disabled=noadd chain=prerouting in-interface= Link2 connection-state=new nth=1,1,1 action=mark-connectionnew-connection-mark=Link2 passthrough=yes comment="" disabled=noadd chain=prerouting in-interface= Link2 connection-mark=Link2 action=mark-routingnew-routing-mark=Link2 passthrough=no comment="" disabled=no

/ i p f irewall nat add chain=srcnatout.interface= Link1 Actoin=Link1 comment="Nat Link1"disabled=noadd chain=srcnatout.interface= Link2 Actoin=Link2 comment="Nat Link2"disabled=no

/ i p routeadd dst-address=0.0.0.0/0 gateway=192.168.254.254 scope=255 target-scope=10routing-mark=Link1



comment="Gateway adsl1" disabled=noadd dst-address=0.0.0.0/0 gateway=192.168.253.253 scope=255 target-scope=10routing-mark=Link2comment="Gateway adsl2" disabled=noadd dst-address=0.0.0.0/0 gateway=192.168.254.254 scope=255 target-scope=10comment="pr inci pal" disabled=yes

Tratamento de portas

/ i p f irewall mangle

add chain=prerouting protocol=tcpdst-por t=80 action=mark-routing new-routing-mark=link2

passthrough=yes \comment="HTTP no link2" disabled=noadd chain=prerouting routing-mark=link2 action=mark-packet new-packet-mark=link2

passthrough=yes \comment="Pacotesmarcados do Link2" disabled=no


passthrough=yes \ comment="HTTPS no Link2" disabled=noadd chain=prerouting routing-mark=link2 action=mark-packet new-packet-mark=link2



passthrough=yes \

comment="MSN no Link2" disabled=noadd chain=prerouting routing-mark=link2 action=mark-packet new-packet-mark=link2 passthrough=yes \comment="Pacotesmarcados do Link2" disabled=no


passthrough=yes \comment="FTP no link1" disabled=noadd chain=prerouting routing-mark=link1 action=mark-packet new-packet-mark=link1



passthrough=yes \comment="SSH no Link1" disabled=noadd chain=prerouting routing-mark=link1 action=mark-packet new-packet-mark=link1





passthrough=yes \comment="TELNET" disabled=noadd chain=prerouting routing-mark=link1 action=mark-packet new-packet-mark=link1

passthrough=yes \

comment="Pacotesmarcados do Link1" disabled=no


passthrough=yes \comment="SMPTP" disabled=noadd chain=prerouting routing-mark=link1 action=mark-packet new-packet-mark=link1



passthrough=yes \comment="DNS" disabled=noadd chain=prerouting routing-mark=link1 action=mark-packet new-packet-mark=link1



passthrough=yes \comment="POP3" disabled=noadd chain=prerouting routing-mark=link1 action=mark-packet new-packet-mark=link1



passthrough=yes \comment="" disabled=noadd chain=prerouting routing-mark=link1 action=mark-packet new-packet-mark=link1


add chain=prerouting protocol=tcp p2p=all-p2p action=mark-routing new-routing-

mark=link1 passthrough=yes \comment="p2p no link1" disabled=noadd chain=prerouting routing-mark=link1 action=mark-packet new-packet-mark=link1


y Autor: SHTURBO-INTER NET



LOADBALANCE - DIVIDINDO CARGA DEFORMA PER SONALIZADA ENTRE OS LINK S

Tratamento de portas

/ i p f irewall mangleadd chain=prerouting protocol=tcpdst-por t=80 action=mark-routing new-routing-mark=link2

passthrough=yes \comment="HTTP no link2" disabled=noadd chain=prerouting routing-mark=link2 action=mark-packet new-packet-mark=link2



passthrough=yes \comment="HTTPS no Link2" disabled=noadd chain=prerouting routing-mark=link2 action=mark-packet new-packet-mark=link2



passthrough=yes \comment="MSN no Link2" disabled=noadd chain=prerouting routing-mark=link2 action=mark-packet new-packet-mark=link2

passthrough=yes \

comment="Pacotesmarcados do Link2" disabled=noadd chain=prerouting protocol=tcpdst-por t=21 action=mark-routing new-routing-mark=link1

passthrough=yes \comment="FTP no link1" disabled=noadd chain=prerouting routing-mark=link1 action=mark-packet new-packet-mark=link1



passthrough=yes \comment="SSH no Link1" disabled=noadd chain=prerouting routing-mark=link1 action=mark-packet new-packet-mark=link1



passthrough=yes \



comment="TELNET" disabled=noadd chain=prerouting routing-mark=link1 action=mark-packet new-packet-mark=link1


add chain=prerouting protocol=tcpdst-por t=25 action=mark-routing new-routing-

mark=link1 passthrough=yes \comment="SMPTP" disabled=noadd chain=prerouting routing-mark=link1 action=mark-packet new-packet-mark=link1



passthrough=yes \comment="DNS" disabled=noadd chain=prerouting routing-mark=link1 action=mark-packet new-packet-mark=link1



passthrough=yes \comment="POP3" disabled=noadd chain=prerouting routing-mark=link1 action=mark-packet new-packet-mark=link1



passthrough=yes \comment="" disabled=noadd chain=prerouting routing-mark=link1 action=mark-packet new-packet-mark=link1


add chain=prerouting protocol=tcp p2p=all-p2p action=mark-routing new-routing-mark=link1

passthrough=yes \comment="p2p no link1" disabled=no

add chain=prerouting routing-mark=link1 action=mark-packet new-packet-mark=link1 passthrough=yes \comment="Pacotesmarcados do Link1" disabled=no

y Autor: SHTURBO-INTER NET

Mk como AP-bridge



Pr imeiro você vai em interface e veja se a placa wireles e a ethernet estão ativas (setiver esmaecida (cinza) clique nela e enable). Feito Isto vá em br idge e clique no "+" ecr ie uma br idge . Ainda no menu br idge clique em por t vai aparecer suas placas deredes. Assim basta clicar em cada placa de rede e adicionar o nome da br idge cr iada.Depois disso você adiciona um i p para a br idge e exclui os i ps anter iores das placas.Pronto, seu Access Point mikrotik foi cr iado.

FIREWALL

Gráf icos em Tempo Real do Mikrotik

pr imeiro vá em IP=>SER VICES,modif ique a apor ta do serviço WWW. no meucaso usei 809. poisvc poderá precisar da por ta 80.para algun servidor web na sua rede eoutra,impedira que outros f ique fuçando seu MT.

Logo apos vá em TOOLS=>GR APHINGAdicione as rules que vc tem nescessidade:

y QueueR ules:monitora as regras de velocidade de seus clientes.y Interfaces R ules:Monitora as interfaces de rede do seu MTy R esourceR ules :Monitora CPU,MEMOR Y e UPTIME do seu MT.

Agora o teste,digite no seu navegador opi p do seu MT junto scom a por ta do seuMT.no meu caso htt p://192.168.0.254:809 .não esqueça da por ta que vc modif icou emIP=>SER VICES.

Veja que ai vc têm algumas opções ,mais vá no que interessa em GR APHS. escolhaqual graf icovc deseja ver if icar. clique em cima da opção que o graf icosera mostrado.

DICA:você pode bloquear esta por ta para o uso externo em:

IP=>FIR EWALL=>FILTER R ULES

Adicione uma nova regra e deixe assim.

CHAIN:forwardPR OTOCOL:tcp DST POR T:(por ta que vc modif icou paraservicowww) IN INTER FACE:(interface da internet) ACTION:drop.

Use o programa (cliente DDNS) da winco tecnologia para monitorar seus MT queestão por ai sem i p f ixo.

y ander_bj{NOSPAM}hotmail.com

Sobre o autor

David Marcony, conhecido como CATVBR ASIL, é professor of icial da Mikrotik desde 2009, também é consultor of icial da Mikrotik desde 2008. Pesquisador detecnologias, já par tici pou de diversos treinamentos, trabalha com wireless e mikrotik.



Ministra treinamentos of icial por todo o Brasil e também consultor ias especializadas avár ias empresas.

Abaixo meus contatos:

David Marcony - catvbrasil - Training Of icial Mikrotik

MIK R OTIK, VOIP, IPTV - Consultor ia &Treinamento

Telefones:

Todos os meus números mudaram!!

y 21-2233-8124y 21-7719-4073 (nextel)y 83*101357 (nextel ID)

[email protected]

www.catvbrasil.com.br

Guia passo Mikrotik

Documents

Transcript of Guia passo Mikrotik