Guia passo-a-passo do Mikrotik completo

por Edvaldo Araujo Sáb 4 Ago - 22:05

Guia passo-a-passo do Mikrotik
link- Para Baixar: [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Tabela de conteúdo
[[size=7]esconder[/size]]
 [size=9]1 Prefácio[/size]
 [size=9]2 Configurações iniciais[/size]
 [size=9]3 Configurando o Mikrotik (LINK ou MODEM ROTEADO)[/size]
 [size=9]4 A PROPOSTA DOS TÓPICOS[/size]
 [size=9]5 Como amarrar IP/MAC[/size]
 [size=9]6 Configurando o WEB-PROXY[/size]
 [size=9]7 Controle de banda[/size]
 [size=9]8 Acesso remoto a outro Mikrotik[/size]
 [size=9]9 Controle P2P (MUITO BOM)[/size]
 [size=9]10 BACKUP e restauração[/size]
 [size=9]11 Limitar conexões por cliente[/size]
 [size=9]12 Servidor PPPoE e Cadastro de Clientes[/size]
 [size=9]13 Amarrar faixa de IP no DHCP[/size]
 [size=9]14 Configurando o HOTSPOT[/size]
 [size=9]15 Configurações dos cartões Wireless[/size]
 [size=9]16 Entendendo cada função do menu do WINBOX[/size]
 [size=9]16.1 SUB-MENU IP[/size]
 [size=9]16.2 SUB-MENU ROUTING[/size]
 [size=9]16.3 SUB-MENU SYSTEM[/size]
 [size=9]17 Instalação do MIKROTIK (Link Dedicado)[/size]
 [size=9]17.1 Colocando ip Dedicado no cliente[/size]
 [size=9]18 Configurando Servidor de Hora Automático[/size]
 [size=9]19 Lista de SCRIPTS e AGENDAMENTOS utéis[/size]
 [size=9]20 Configurando Liberação Automática de Banda por hora determinada[/size]
 [size=9]21 LOADBALANCE - Visão Geral e Aplicação[/size]
 [size=9]22 LOADBALANCE - IPD X IPD[/size]
 [size=9]22.1 IPD(IP DEDICADO)[/size]
 [size=9]22.2 Tratamento de portas[/size]
 [size=9]23 LOADBALANCE - DIVIDINDO CARGA DE FORMA PERSONALIZADA ENTRE
OS LINKS[/size]
 [size=9]23.1 Tratamento de portas[/size]
 [size=9]24 Mk como AP-bridge[/size]
 [size=9]25 FIREWALL[/size]
 [size=9]26 Gráficos em Tempo Real do Mikrotik[/size]
 [size=9]27 Autor[/size]
[[size=9]editar[/size]]
Prefácio
ÚLTIMA ATUALIZAÇÃO: 25-03-2008
Restruturando este passo a passo, busco mais uma vez facilitar para os
novatos deste excelente sistema, ensinando aqui mesmo, o básico para fazer um
servidor mikrotik funcionar. Apresento o início, aquilo que não gostam de
ensinar, sem omissão, sem enrrolação. Para todos aqueles que querem aprender
ou conhecer o mikrotik, aqui está a forma mais simples de "rodar" um servidor
básico para aprendizagem ou mesmo para iniciar suas experiências. Lembre-se,
estou dizendo o básico e isso não significa "o servidor". Para os "aventureiros",
não recomendo colocar um servidor mikrotik, não configurado (com
configurações básicas), em produção (em funcionamento no provedor). Tenho
visto muita gente se decepcionando com o mikrotik, pelo simples fato de
conseguir configurar o básico (que irei apresentar abaixo) e achar que é tudo.
Um servidor, para rodar perfeitamente, precisa de no mínimo, configurações
"obrigatórias", para evitar os velhos problemas conhecidos (perdas de pacotes,
lentidão, etc). Falo eu CATVBRASIL (David), que já atendi mais de 500 empresas
por todo o Brasil, Argentina, Chile, USA, Itália, Portugal e etc... Lembre-se,
conhecimento é tudo... Estudem bastante e assim que possível, se especializem,
façam treinamentos (existem vários), tirem suas dúvidas, participem do forum
do under-linux (um dos mais completos do Brasil, em termo de mikrotik) e etc....
Busquei neste passo a passo, ajudar, de certa forma, aqueles que sentem
dificuldade para realizar simples tarefas neste SO, Mikrotik. Basicamente a
estrutura de todo este passo-a-passo é a fácil execução dos procedimentos,
orientados por simples textos e imagens.
Agradeço a todos, que colaboraram direta ou indiretamente pela realização
deste.
É expressamente proibida a VENDA ou qualquer outra forma de
remuneração por meio deste material. É permitido divulgar, colaborar,
inserir artigos ou correções neste material. Não esqueça de indicar o
autor e a origem do material.
Desenvolvi este manual passo-a-passo, para auxiliar a todos iniciantes ou
não deste excelente sistema operacional para roteadores.
ATENÇÃO: É GRÁTIS!! TUDO QUE ESTÁ AQUI É GRÁTIS!! LEMBRE-SE, DAI DE
GRAÇA O QUE RECEBEU DE GRAÇA!!!
Configurações iniciais
Parte retirada do treinamento a distância de mikrotik - CATVBRASIL
CONFIGURANDO UM SERVIDOR MIKROTIK BÁSICO (MÉTODO RELÂMPAGO)
Para configurar um servidor Mikrotik é muito fácil e rápido e você pode
configurá-lo em 2 minutos no máximo!!! Consideramos que este servidor não
terá placas wireless, apenas 2 placas ethernets (1 de entrada e 1 de saída).
Para colocar um servidor Mikrotik, precisamos configurar apenas:
 IP>ADDRESS (define o endereço IP para a interface de entrada e
de saída)
 IP>ROUTES (define o gateway de saída)
 IP>DNS (define o DNS primário e secundário)
 REGRA DE NAT (IP>FIREWALL>NAT) (define o NAT mascarado)
SOMENTE ESTAS CONFIGURAÇÕES SÃO NECESSÁRIAS PARA LEVANTAR UM
SERVIDOR MIKROTIK BÁSICO. ESTE SERVIDOR JÁ ESTARÁ “UNCIONANDO”
NOTEM QUE EU DISSE “UNCIONANDO”APENAS. FUNCIONAR NÃO É TUDO!!!
Configurando o Mikrotik (LINK ou MODEM ROTEADO)
Vamos lá mãos a obra!!
1º passo: CONFIGURAR O ENDEREÇO (ADDRESS):
Abra o menu IP > ADDRESS
Crie um novo endereço IP (dentro da faixa do seu link ou modem, com a
máscara de rede). Não esqueça de definir a interface correta a qual seu roteador
ou modem está ligado, caso contrário poderá não funcionar.
Após criar o endereço, e clicar em OK, automaticamente os endereços de
network e broadcast serão preenchidos. Estes endereços são criados
automaticamente de acordo com a máscara de rede.
2º passo: CONFIGURAR A ROTA DE SAÍDA (ROUTER):
Abra o menu IP > ROUTER
Crie uma nova rota, e defina apenas o endereço de gateway (este é o
endereço do seu roteador ou modem). Não é necessário colocar a máscara de
rede. Note que se estiver tudo certo, o campo "interface" desta nova regra, será
preenchido automaticamente (com a interface onde está ligado seu modem ou
roteador)
3º passo: CONFIGURAR O DNS:
Abra o menu IP > DNS
Abra o botão "settings" e configure o DNS primário e secundário do seu link.
4º passo: CONFIGURANDO O NAT:
Abra o menu IP > FIREWALL > NAT
Crie uma nova regra
Em “HAIN”escolha a opção “rcnat” em OUT INTERFACE (SAÍDA), não
precisa escolher a interface de saída.
Na aba “CTION” escolha a opção “ASQUERAD”
EXTRA
Passo adicional: CONFIGURANDO UM MK COM ADSL - MODEM EM
BRIDGE:
Abra o menu INTERFACE
Clique com o botão direito, em cima da interface do ADSL, e escolha a opção
"PPPOE CLIENT"
Na aba DIAL OUT, configure os campos:
*USER: nome de usuário da cont ADSL (xxxxxxxxx@operadora.com.br)
*PASSWORD: senha da conta ADSL
Deixar marcado as opções:
*ADD DEFAULT ROUTER
*USER PEER DNS
Mantendo estas duas opções marcadas, você não irá precisa configurar o IP e
a ROTA (deve-se pular os passos 1 e 2 deste artigo). Dando um OK,
automaticamente o discador PPPoE irá se conectar e já estará pronto para
trabalhar.
5º passo: CERTIFICANDO QUE TUDO ESTÁ FUNCIONANDO
PERFEITAMENTE:
Bom, como saber se tudo que foi configurado está funcionando
perfeitamente? No winbox, há uma opção chamada "new terminal" que como o
próprio nome sugere, é um terminal de comando do mikrotik. Lá temos vários
comandos (podemos verificar, apenas apertando "?", dentre eles o conhecido
"ping". Para testar a funcionabilidade de nosso servidor mikrotik, basta "pingar"
um endereço qualquer ([Tens de ter uma conta e sessão iniciada para poderes visualizar este link] e verificar se há resposta. Havendo
resposta, nosso servidor já está "navegando" na internet, caso não haja
resposta, significa que há algum problema na configuração (bastando iniciar
novamente este manual e verificar onde está acontecendo o erro)... Podemos
também através do comando de ping, verificar o "estado" de nosso roteador,
link, dns, etc etc...
[[size=9]editar[/size]]
A PROPOSTA DOS TÓPICOS
Abaixo, apresento várias soluções e regras procuradas por muitos, de uma
forma simples e descomplicada. A proposta abaixo é resolver algumas das
dúvidas cotidianas. Já vi muita gente falando no forum que configurou seu
servidor com as regras e soluções abaixo e não ficou "aquele" servidor. Quero
lembrar mais uma vez, que as regras e soluções apresentadas abaixo, funcionam
perfeitamente, mas não são a solução completa. Elas resolvem algumas coisas,
mas para um servidor funcionar perfeitamente, é necessário outras
configurações...
[[size=9]editar[/size]]
Como amarrar IP/MAC
Acesse o menu IP, ARP
Crie uma nova “RP”(botão “”
Digite o IP da máquina a qual quer amarrar, o MAC ADDRESS e a INTERFACE
a qual a máquina será ligada.
Em COMMENT, dê o nome desta ARP, como no exemplo acima.
Acesse o menu, INTERFACE
Como último procedimento, você deve habilitar em sua interface, o ARP
para reply-only.
[[size=9]editar[/size]]
Configurando o WEB-PROXY
Acesse o menu IP, WEB-PROXY
Clique no botão “ETTINGS”Deverá aparecer uma tela como esta
Configure de acordo com suas necessidades...
 SRC-ADDRESS = Deixe em branco

 PORT = Escolher a porta do seu web-proxy

 TRANSPARENT PROXY = Deixe marcado para proxy transparente
 PARENT PORT = Deixe em branco

 PARENT PROXY PORT = Deixe em branco

 CACHE ADMINISTRATOR = Deixe como está

 MAXIMUM OBJECT SIZE = Deixe como está

 CACHE DRIVE = Deixe como “ystem”/p>
 MAXIMUM CACHE SIZE = Define o tamanho do seu cache, varia de acordo
com o tamanho do seu HD

 MAXIMUM RAM

 CACHE SIZE = Define o tamanho máximo de sua memória RAM para o
cache

Após configurar estes parâmetros, aperte a tecla “NABLE”Após configurar estes parâmetros, aperte a tecla “NABLE”NÃO se deve fazer CACHE de PÁGINAS DINÂMICAS (bancos, globo.com, etc
etc...)
Duas regras devem ser colocadas na aba "CACHE" do Web-Proxy para esse
efeito:
IP / WEB-PROXY / CACHE
Crie uma nova regra (botão “”
add url=":cgi-bin \\?" action=deny comment="no cache dynamic http pages"
disabled=no
add url="https://" action=deny comment="no cache dynamic https pages"
disabled=no
O segundo passo para nosso WEB-PROXY funcionar é criar um regra para
redirecionar as requisições primeiramente para o proxy, para isso:
Acesse IP, FIREWALL
Escolha a aba “AT”Crie uma nova regra (botão “”
Crie a regra da seguinte forma:
*CHAIN = DSTNAT
*PROTOCOL = 6 (TCP)* *DST. PORT = 80
*IN. INTERFACE = INTERFACE DOS CLIENTES
Vá na aba “CTION”Escolha em “CTION”a opção “EDIRECT”e em “O PORT”escolha a porta
do seu proxy (definida anteriormente no começo deste tópico).
É interessante realizar uma regra para cada interface de assinantes. Neste
caso como possuo duas interfaces (LAN/WLAN), criei duas regras, uma para cada
interface.
É importante criar uma regra de bloqueio externo ao web-proxy. Caso você
não crie esta regra, ela sobrecarregará o seu proxy, travando até mesmo seu
servido. Siga abaixo:
Acesse o menu IP, FIREWALL
Acesse a aba “ILTER RULES”Crie uma nova regra (botão “”
Segue a configuração:
*CHAIN = INPUT*
*PROTOCOL = 6 (TCP)
*DST PORT = PORTA DO SEU WEB-PROXY
*IN. INTERFACE = INTEFACE DE SAÍDA (LINK DE INTERNET)
Acesse a aba “CTION”Em “CTION”escolha a opção “rop”
EM COMMENT você pode dar um nome a regra, que neste caso foi apelidado
de “LOQUEIO DO PROXY EXTERNO”
Com este passo-a-passo, você criou e habilitou o seu web-proxy e também
tornou mais eficiente, bloqueando o acesso externo a ele.
[[size=9]editar[/size]]
Controle de banda
Acesse no menu, QUEUE
Crie um novo controle de banda (botão “”
Configure como abaixo:
*NAME = Nome do "dono" da configuração –Nome do cliente
*TARGET ADDRESS = IP que irá controlar a banda
*TARGET UPLOAD –MAX LIMIT = Taxa de upload (Colocar “”Minúsculo no
final)
*TARGET DOWNLAOD –MAX LIMIT = Taxa de download (Colocar “”minúsculo
no final)
Controle de banda concluído. Somente isso é necessário.
[[size=9]editar[/size]]
Acesso remoto a outro Mikrotik
PS: Para ter acesso a rádios AP em sua rede, você deverá habilitar a
função “TIVAR GERENCIAMENTO PELA PORTA WAN”do seu rádio.
Simples. Basta criar três regras no firewall. Segue abaixo:
Acesse o menu IP, FIREWALL
Clique na aba “AT”Crie uma nova regra (botão “”
Siga os procedimentos de configuração abaixo:
*CHAIN = DSTNAT
*DST. ADDRESS = Endereço IP do MK principal
*PROTOCOL = 6 (TCP)
*DST. PORT = 4040 (Porta padrão do Firewall)
Abra a aba “CTION”Siga as configuração abaixo:
*ACTION = DSTNAT
*O ADDRESS = Endereço IP do AP que deseja acessar.
*TO PORT = Porta de acesso do AP
Confirme e dê um nome em COMMENT para sua regra.
Se o AP que você deseja acessar for um outro AP Mikrotik, você deverá escolher
a porta padrão TELNET (23). Se for um AP rádio, escolha a porta padrão HTTP
(80) ou outra escolhida no rádio.
Você deverá criar uma segunda regra:
Repetindo o mesmo procedimento acima, mas desta vez, alterando apenas
o protocolo para 17 (UDP).
Salve tudo e crie a terceira regra.
Nesta regra, você irá definir um endereço IP para seu AP. Verifique com
sua operadora quais endereços IP você tem e quais estão sobrando.
Cria a regra como abaixo:
*CHAIN = DSTNAT
*DST. ADDRESS = Endereço IP livre, a qual será atribuído ao seu rádio ou AP
MIKROTIK.
*PROTOCOL = 6 (TCP)
*DST. PORT = Porta de acesso ao AP ou rádio. Se você for acessar outro AP pelo
WINBOX, selecione a porta 8291 (PORTA PADRÃO DO WINBOX), se você for
acessar um rádio, a porta padrão é a 80 ou outra pré-definida do rádio.
Abra a aba “CTION”Nesta aba você irá configurar da seguinte forma:
*ACTION = DST-NAT
*TO ADDRESS = Endereço IP do seu rádio ou AP (endereço de IP da rede
interna)
*TO PORT = Porta padrão para o WINBOX (AP MIKROTIK) ou porta padrão para
rádios, porta 80 (ou outra definida).
Pronto!!! Para ter acesso a AP MIKROTIK, vá no WINBOX, digite o IP válido
definido acima, senha e login. Para ter acesso a rádios, abra o internet explorer,
digite o endereço IP válido definido acima... Abrirá um box para senha e login...
Digite-as e seja feliz!!!
Não esquecer de adicionar os IP's válidos que serão usados para os rádios
na ADDRESS LIST. Como??
Acesse o menu IP, ADDRESS LIST

Crie uma nova lista de endereços (botão “”
De acordo com seu link, coloque o novo IP válido, o Ip da "NETWORK e o
IP do BROADCAST. Defina também a interface (Neste caso, a interface de saída
da internet)
[[size=9]editar[/size]]
Controle P2P (MUITO BOM)
Aqui você irá aprender a controlar (shape) o tráfego P2P, marcando
pacotes, facilmente. Basta apenas 4 regrinhas, 2 no firewall e 2 no queue. Então
vamos lá:
Acesse o menu IP, FIREWALL
Escolha a aba, MANGLE
Crie uma nova regra (botão “”
No campo "CHAIN", escolha "PREROUTING". No campo "P2P", escolha "allp2p".
Abra a aba “CTION”No campo "ACTION", escolha "MARK CONNECTION". No campo "NEW
CONNECTION MARK", dê um nome a sua nova marcação de pacotes (no
exemplo, demos o nome de "p2p_conn". Deixe a opção "PASSTHROUGH" ligada.
Confirme.
Crie uma nova regra (botão “”
No campo "CHAIN", escolha "PREROUTING". No campo "CONNECTION
MARK" escolha a opção com o nome definido acima (no nosso caso foi
"p2p_conn".
Abra a aba “CTION”No campo "ACTION", escolha "MARK PACKET", no campo "NEW PACKET
MARK", defina outro nome (no nosso caso, ficou como "p2p". Confirme.
Após criar estas duas regras no firewall, será necessário criar mais duas
regras no queue. Para isso:
Abra o menu, QUEUE
Abra a aba "QUEUE TREE"
Crie uma nova regra (botão “”
Defina de acordo com a figura.
*NAME = Defina um nome para a regra
*PARENT = Escolha "GLOBAL-IN"
*PACKET MARK = Escolha a opção do nome escolhido acima. Aparecerá aqui o
nome definido na regra do firewall
*QUEUE TYPE = DEFALT
*PRIORITY = 8
*MAX LIMIT = Define o limite máximo de banda reservado para o P2P. No nosso
caso, é um total de 200k para p2p
Confirme...
Crie uma nova regra (botão “”
Defina de acordo com a figura.
*NAME = Defina um nome para a regra
*PARENT = Escolha "GLOBAL-OUT"
*PACKET MARK = Escolha a opção do nome escolhido acima. Aparecerá aqui o
nome definido na regra do firewall
*QUEUE TYPE = DEFALT
*PRIORITY = 8
*MAX LIMIT = Define o limite máximo de banda reservado para o P2P. No nosso
caso, é um total de 200k para p2p

align="justify">Confirme...
Pronto!!! Moleza!!! Agora o tráfego P2P, será limitado por marcação de
pacotes. Esta regra é muito eficiente!!
[[size=9]editar[/size]]