Palestra:

Mikrotik: Histórico, Características,

Instalação e Configurações Básicas

Apresentação:

Prof. Vinícius Ferreira de Souza

Referencial Teórico:

Minicurso ministrado pelo prof. José Ferreira Neto

Currículo: http://lattes.cnpq.br/2399116495344293

Mikrotik Brasil. Apostila Oficial do Curso, Belo

Horizonte/MG, 2007.

1

O que é o Mikrotik?

Mikrotik é uma empresa que fabrica equipamentos

para redes de computadores, principalmente

equipamentos wireless, da Latvia (Letônia). O

Mikrotik RouterOS é um sistema operacional de

roteamento, e é principal produto da empresa

Mikrotik.

O Mikrotik RouterOS é um sistema operacional

baseado em Linux que permite que qualquer

plataforma x86 ou x64 se transforme em um

poderoso roteador dotado de diversas funções, tais

como: VPN, Proxy, Hotspot, Controle de Banda, QoS,

Firewall, entre outras, que variam de acordo com a

licença adquirida do sistema.

2

Com o sistema operacional Mikrotik RouterOS é

possível criar uma rede segura, com um firewall

eficiente e concatenação de links (juntar vários links

num só equipamento). O sistema conta também com

suporte para protocolos de roteamento, como BGP,

RIP, OSPF, MPLS, entre outros, também de acordo

com a licença obtida.

O que muda nos níveis de licença são as limitações

de algumas funções, mas todas as licenças permitem

funções suficientes para administrar um provedor de

Internet tradicional.

Usado em aeroportos, hotéis, provedores de Internet

wireless, grandes empresas como máquina firewall,

balanceamento de carga, etc.

3

Pode ser acessado diretamente ou remotamente, com

o uso de ferramentas, como: Winbox (GUI), Console

(CLI), WEB (remoto) e Dude.

Funções/modos de operações principais:

• Roteador dedicado;

• Bridge com filtros em layer 2;

• Firewall com layer 7 e diversos filtros;

• Controle de velocidade, garantia de banda, burst,

hierarquia e disciplinas de filas;

• Ponto de Acesso Wireless em modo 802.11,

proprietário e cliente wireless;

• WDS, NSTREME, NSTREME Dual;

4

• Concentrador PPPoE, PPtP, IPSec, L2TP, etc;

• Roteador de borda;

• Hotspot e gerenciador de usuários;

• WEB Proxy (cache de páginas e arquivos);

• Recursos de Bonding, VRRP, etc;

• Virtualização com Xen e MetaRouter;

• Linguagem avançada de scripts;

• Roteamento com OSPF, MPLS, BGP, etc;

• Ferramentas: watchdog, bandwidth test, torch.

5

Sites de referência ou onde obter suporte:

Inglês

Mikrotik - Página oficial

RouterBoard - Página oficial

Encontros MUM - Página oficial

Treinamentos Oficiais - Página oficial

Português

Manual Passo a Passo em Português

CATVBRASIL

Belluno Tecnologia

Comunidade Under-Linux

Site oficial da Mikrotik Manaus

Especialista em Mikrotik

Lista de placas-mãe e placas de rede compatíveis:

http://wiki.mikrotik.com/wiki/Supported_Hardware

6

Objetivo:

Rotear uma conexão originada da rede interna

e direcioná-la para uma placa de rede

secundária, configurar o DHCP e criar uma

regra de firewall para o bloqueio de uma página

na Internet pelo endereço IP.

7

O que precisamos para configurar o

servidor Mikrotik:

• Placa-mãe de boa qualidade/marca;

• Duas placas de rede compatíveis com o

sistema;

• HD;

• Sinal de rede (link);

• Conhecimentos de rede (protocolo TCP/IP,

mascaramento, entre outros);

• Planejamento (todo projeto deve ser

planejado).

8

Passos iniciais:

• Gravar imagem do sistema em CD;

• Configurar o computador para dar o boot pelo

driver de CD/DVD;

• Marcar os pacotes que deseja instalar;

• Instalar;

• Registrar a licença de uso do sistema.

Obs.: A versão que usaremos será a 5.21,

licença free 24 horas.

9

Instalação:

Após os passos descritos anteriormente, a tela inicial

do sistema será esta:

Pressione a letra “A” e depois “I”, para selecionar e

instalar os pacotes do sistema.

10

Instalação:

Após a instalação, o sistema será aberto como na

imagem abaixo:

Para acessar, basta digitar admin e senha em

branco.

11

Configuração inicial:

Vamos fazer toda a configuração visualmente,

usando um aplicativo chamado Winbox.

Plugue um cabo de rede em uma das placas de

rede instalada na máquina, usando um cabo

padrão 568A ou 568B (mesmo com conexão

nula/limitada você tem acesso, pois o Mikrotik

possibilita o acesso via endereço MAC), ou

coloque o servidor na mesma rede (via

HUB/Switch/AP) e acesse via terminal.

12

Configuração inicial:

Acessando via Winbox:

Acesse usando o endereço MAC. Clique no

botão [...] e o servidor deve aparecer na lista, se

ele estiver na mesma rede.

13

Tela inicial do Mikrotik via Winbox:

Acesse usando o MAC.

14

Configuração inicial:

O primeiro passo é verificar quais placas (interfaces)

o Mikrotik reconheceu. Clique em Interfaces.

15

Configuração inicial:

No exemplo, o Mikrotik reconheceu duas placas

de rede, uma chamada eth0 (cabeada) e outra

wlan1, wireless (sem fio).

Dê dois cliques sobre a placa (identificar,

exemplo: Entrada ou Link). Vamos usar LINK.

Repita o processo para a Wlan1, coloque como

CLIENTES.

No exemplo, estamos recebendo o sinal da

internet via cabo (eth1) e vamos distribuir via

wireless (wlan1).

16

O que precisamos conhecer:

• Gateway da rede;

• Endereço dos servidores DNS.

Passo a passo:

• Configurar IP de entrada (placa que recebe a

rede/internet);

• Configurar IP de saída (placa que vai enviar para a

rede/clientes);

• Definir o Gateway de saída;

• Definir os endereços de DNS;

• Habilitar o NAT (Network Address Translation);

• Pronto, o servidor Mikrotik já estará funcionando.

17

Primeiro passo: Configurar o IP de entrada

(placa que recebe a Internet).

Conecte a placa de rede LINK à Internet;

A configuração da placa de entrada (eth0) será na

mesma classe que o Gateway, ou seja, 192.168.13.x

(o "x" pode ser qualquer número de 2 à 63 que não

esteja sendo utilizando por outro host na rede local,

já que o .1 está ocupado pelo Gateway).

Vamos configurar então a eth0 (LINK) com o IP

192.168.13.50/26 (rede interna lab. 02).

Clique em IP e em Addresses (imagem a seguir).

18

19

20

Address: IP do Mikrotik/Máscara

Network e Broadcast.

Interface: Placa de rede que recebe o sinal de Internet.

Clique no “+”

21

Na tela do Winbox, clique em IP/Addresses e

depois no sinal de mais (+) em vermelho e, em

Address, digite o IP que será o do Mikrotik.

Em interface, escolha a placa de entrada, que

será a eth0, e clique em Apply (aplicar). Os

campos Network e Broadcast serão

automaticamente preenchidos com base na faixa

de IP que você informou.

22

Vamos agora configurar a rota (clique em IP/Routes):

23

Informe o IP do Gateway no campo Gateway, e se for

o IP correto, automaticamente o campo Interface

definirá a placa que tem acesso à Internet.

Em

Gate

way,

colo

qu

eo

IPd

ogate

way

e,

au

tom

ati

cam

en

te,

ap

laca

de

red

e

(LIN

K)

deverá

ser

ass

oci

ad

a.

24

O próximo passo, será configurar o DNS. Clique em

IP/DNS, e depois em SETTINGS.

Info

rme

oD

NS

da

red

equ

e

forn

ece

oli

nk

de

Inte

rnet.

25

O passo seguinte será configurar o NAT. Clique em

IP/FIREWALL.

Em

CH

AIN

,esc

olh

aS

RC

NA

T.

Em

OU

TIN

TE

RF

AC

E,

esc

olh

aa

pla

cad

ere

de

LIN

K.

26

A seguir, na mesma janela, clique na guia ACTION e

defina a ação como MASQUERADE.

.

Cli

qu

en

aa

ba

AC

TIO

Ne,

em

AC

TIO

N,

esc

olh

aM

AS

QU

ER

AD

E.

27

Acabamos de criar uma regra no IPTables, que

determina que todos os endereços da rede interna

serão traduzidos para um único IP, que no caso é o do

LINK.

Feito isso, o servidor Mikrotik já estará com acesso à

Internet. Clique em TOOLS/PING, e em PING TO:

digite o IP ou o endereço de algum site (no exemplo,

usamos o www.google.com.br), e veja o retorno.

ping www.google.com.br

28

Próximo passo: configurar a interface de saída, ou

seja, a interface que distribuirá a rede para os

clientes.

.

Em

AD

DR

ES

S,

dig

ite

oIP

/Másc

ara

da

red

ed

esa

ída

,ex:

19

2.1

68.0

.1/2

4e

sele

cion

eC

LIE

NT

ES

em

INT

ER

FA

CE

.

Dep

ois

,cl

iqu

eem

AP

PL

Y.

NETWORK e BROADCAST

serão preenchidos

automaticamente

29

Podemos configurar a interface LINK (eth0) para

obter um endereço IP de um servidor DHCP. Para

isso, clique em IP/DHCP CLIENT.

.

Em

INT

ER

FA

CE

,se

leci

on

ea

pla

ca

LIN

K,

caso

ha

jau

mse

rvid

or

DH

CP

dis

pon

ível

pelo

pro

ved

or

do

lin

kd

e

Inte

rnet.

30

Desmarque a opção Use Peer DNS, pois será utilizado

o DNS configurado anteriormente e esse DNS

configurado é o que vem do servidor DHCP.

Deixe marcado: Use Peer NTP, pois é o Gerenciador

de Data, padrão do provedor.

Deixe marcado também Add Default Routes para que

seja adicionada a rota padrão.

Verifique em IP/ROUTES se a rota foi adicionada.

A 1

º li

nh

a s

em

pre

é a

últ

ima q

ue f

oi

ad

icio

nad

a.

31

Após a configuração realizada, o gateway será

automaticamente adicionado como DNS primário.

Verifique em IP/DNS e em SETTINGS.

32

Para configurar o Servidor DHCP da rede interna,

que fornecerá os IP’s dos clientes, precisamos definir

qual será o IP inicial e final. Clique em IP/POOL.

Em NAME, coloque POOL, e em ADDRESS,

coloque: 192.168.0.2 - 192.168.0.100, ou seja,

as máquinas dos clientes receberão IP’s a

partir do .2 até o .100.

33

Em ADDRESS, digite o IP inicial – final, por

exemplo: 192.168.0.2 - 192.168.0.100, que vai após o

Gateway do Mikrotik, até onde você desejar.

Deve-se excluir da faixa de IP’s oferecidos pelo

servidor DHCP os IP’s que já estejam sendo

utilizados na rede interna ou previamente reservados

(o IP 192.168.0.1 foi excluído do POOL, pois é o IP do

Mikrotik).

Agora, podemos criar o DHCP SERVER.

Para isso, clique em IP/DHCP SERVER e depois, no

sinal de “+” ou use o botão CONFIG, que descreve o

processo passo a passo.

34

NAME: nome para o servidor DHCP. Em Interface,

selecione CLIENTES (destino para o range DHCP).

LEASE TIME é o tempo em que o DHCP será renovado

e o padrão é 3d 00:00:00 ou 3 dias. O ideal é (0d

12:00:00) ou 12 horas. Marque a opção Add ARP For

Leases. Em ADDRESS POOL, marque o POOL criado.

35

Falta definir a rede (NETWORK), o novo Gateway,

entre outras configurações. Configure conforme

abaixo:

ADDRESS: endereço de rede, que foi gerado

automaticamente quando foi configurado o IP da placa

de rede. A NETMASK é a mesma, /24. DNS Servers

será o IP do Mikrotik (neste exemplo), pois é esse

endereço que será o gateway dos clientes.

36

O próximo passo é impedir que um cliente “clone” o IP

de outro cliente ou que alguém “capture” o seu sinal

de Internet. Para isso, vamos “atrelar” o IP ao MAC.

Com os dados de MAC e IP do cliente (você pode

também obter esses dados, se os clientes já estiverem

conectados, em WIRELESS), clique na aba

REGISTRATION.

37

IP A

DD

RE

SS

: IP

do c

lien

te.

MA

C A

DD

RE

SS

: M

AC

da

pla

ca d

e r

ed

e.

38

Obter os endereços MAC e IP do cliente.

De posse das informações, basta cadastrar.

39

Em INTERFACE, dê dois cliques na interface LINK

e altere ARP para reply-only (somente repetir).

40

Clique em QUEUES e em “+” e entre com as

informações, como no exemplo abaixo:

NAME: nome do cliente.

TARGET ADDRESS: IP do cliente.

MAX LIMIT: limite de

conexão

(mínimo/máximo) kbits/s.

41

Bloqueio básico de sites pelo endereço IP

Primeiramente dê um PING no site que deseja

bloquear e verifique o host dele. Exemplo: Vamos

bloquear o Orkut.

Verifique que o terminal retornou o IP 74.125.36.4.

Como o Google tem vários servidores para garantir

que milhões de pessoas tenham acesso ao serviço, é

necessário configurar para o host: 74.125.36.0/24.

42

Para bloquear o site, vamos usar o WEB-PROXY.

Clique em IP/WEB-PROXY.

Marq

ue

EN

AB

LE

,d

efi

na

ap

ort

a3

12

8

ou

65

88

.A

sd

em

ais

con

figu

raçõ

es

alt

ere

com

od

ese

jar

ou

deix

ea

pad

rão.

43

Para que o WEB-PROXY funcione adequadamente, é

necessário criar uma regra em IP/FIREWALL/NAT.

Em

CH

AIN

,se

leci

on

eD

ST

NA

T.

Em

PR

OT

OC

OL

,se

leci

on

e6

(TC

P).

Em

IN.

INT

ER

FA

CE

,se

leci

on

eC

LIE

NT

ES

.

44

Na mesma janela, clique na aba ACTION. Em

ACTION, escolha REDIRECT (redirecionar) e, em TO

PORT, digite a porta do WEB-PROXY.

Ess

are

gra

faz

com

qu

eto

do

ace

sso

port

a8

0p

ass

ep

elo

pro

xy

pri

meir

o,

para

veri

fica

rse

osi

teest

áblo

qu

ead

o

ou

pod

ese

ra

cess

ad

o.

45

Em IP/WEB-PROXY/ACCESS, clique em “+”. Em

DST ADDRESS: digite o IP do site que deseja

bloquear e, em ACTION, selecione DENY.

Deve-s

eu

tili

zar

oh

ost

do

site

/serv

iço.

Caso

con

trári

o,

qu

an

do

ocl

ien

te

ace

ssar

em

ou

tro

serv

idor,

osi

ten

ão

será

blo

qu

ea

do.

46

Verifique o resultado:

Em SCR.

ADDRESS, você

pode colocar um IP

específico de um

cliente para

bloquear o site ou

serviço somente

desse IP.

47

Existem alguns softwares que complementam o

Mikrotik RouterOS. São usados em provedores de

Internet por meio de servidores radius, como o MK-

AUTH, que inclui as funções de emissão de boletos,

corte automático de clientes, central do assinante, etc.

RouterBOARD

RouterBoard é o nome de uma série de produtos

MikroTik que combinam o RouterOS com uma linha

de hardware próprio. É projetado para provedores de

pequeno e médio porte, oferecendo acesso banda larga

via rede sem fios.

48

São equipamentos de rádio ou roteadores compactos,

que tem a capacidade de montar links wireless com

alta capacidade de tráfego, inclusive utilizando duas

antenas e uma configuração especial chamada

Nstreme. Além disso, conta com inúmeras

ferramentas de análise e monitoramento.

49

FIM!!!