Guia Exclusivo de Referencia-Mikrotik PDF

ndice
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
COMO ACESSAR O ROUTEROS MIKROTIK ........................................................................3

ACESSO VIA TERMINAL .................................................................................................3
ACESSO VIA WINBOX GUI .............................................................................................5
INTERFACE WIRELESS ..................................................................................................6
Boto Scan ...............................................................................................................6
Boto Freq. Usage .....................................................................................................7
Boto - Align ...............................................................................................................7
Boto Sniff ...............................................................................................................8
Boto Snooper ..........................................................................................................8
Guia General.............................................................................................................9
Guia Wireless .......................................................................................................... 10
Guia Data Rates ...................................................................................................... 13
Guia Advanced ........................................................................................................ 14
Guia WDS............................................................................................................... 16
Guia Nstreme.......................................................................................................... 18
Guia Tx Power......................................................................................................... 19
Guia Status............................................................................................................. 20
Guia Traffic ............................................................................................................. 21
Menu Wireless Interfaces .......................................................................................... 22
Menu Wireless Access List ......................................................................................... 24
Menu Wireless Security Profiles.................................................................................. 25
AP-BRIDGE................................................................................................................ 28
BRIDGE TRANSPARENTE ENTRE DOIS PONTOS UTILIZANDO WDS..................................... 37
CONTROLE DE CLIENTES APENAS POR MAC ................................................................... 54
CONTROLE DE BANDA Simple Queue .......................................................................... 57
LIMITAO DE BANDA PARA P2P .................................................................................. 60
REPETIDORA WIRELESS UTILIZANDO WDS ................................................................. 67
NAT........................................................................................................................ 112
LIMITAR CONEXES POR IP ....................................................................................... 117
DESABILITAR E HABILITAR CONEXES P2P ................................................................. 122
FAZENDO BACKUP E RESTAURANDO O BACKUP............................................................ 130
ATRELANDO IP AO MAC............................................................................................. 133
HOTSPOT ................................................................................................................ 136
COMO ACESSAR O ROUTEROS MIKROTIK

O roteador RouterOS pode ser acessado das seguintes maneiras:
- Monitor e teclado
- Terminal Serial (default 8 / N / 1 velocidade 9600)
- Telnet
- Telnet de MAC
- SSH
- Interface Grfica Winbox em windows
- Interface Grfica Winbox em Linux com Wine
ACESSO VIA TERMINAL

- Primeiro acesso:
- Pode ser no prprio box, via serial, SSH ou telnet
- Usurio: admin
- Senha: (em branco)
- Configurao do Cabo Serial Conector DB9
- Ajuda
- ?: Mostra um help para o diretrio em que se esteja
[Mikrotik] > ?
- ? Aps um comando incompleto: Mostra as opes adicionais disponveis.
[Mikrotik] > interface ?
- Navegao nos nveis de diretrio
- [Mikrotik] > interface {enter}
- [Mikrotik] interface > wireless {enter}
- [Mikrotik] interface wireless > print {enter}
- Pode-se ir diretamente com / interface wireless print
- / Para voltar na raiz
- Tecla TAB
- Comandos no precisam ser totalmente digitados, podendo ser completados
com a tecla TAB
- Havendo mais de uma opo para o j digitado, se pressionar TAB duas vezes
mostra as opes.
Comandos mais comuns
- Print:
-
Pode ser usado com diversos argumentos como:

print status
print detail
print interval, etc
- Monitor: Usado repetidamente mostra o status

/ interface wireless monitor wlan1
- Manipulao de regras
- add: adiciona regras
- set: muda regras
- remove: remove regras
- disable: desabilita a regra sem apaga-la
- move: move algumas regras cuja ordem influencie (firewall por exemplo)
- export: exporta todas as configuraes do diretrio corrente acima (se estiver em /,
do roteador todo). O resultado pode ser copiado com o boto direito do mouse e colado em
editor de textos.
ACESSO VIA WINBOX GUI

Interface Grfica para administrao do Mikrotik
- Funciona em Windows e Linux (Wine)
- Utiliza a porta TCP 8291
Para Download: http://www.mikrotik.com/download/winbox.exe
Significado dos cones:

Adicionar novas entradas
Remover entradas existentes
Habilitar o item
Desabilitar o item
Acrescentar ou adicionar comentrios
Desfazer a ao
Refazer a ao
INTERFACE WIRELESS
Boto Scan
Escaneia o meio (causa queda das conexes estabelecidas)
A Ativa
B BSS
P Protegida
R Rede Mikrotik
N Nstreme
Boto Freq. Usage

Mostra o uso as freqncias em todo o espectro, para site survey
Obs.: Ao utilizar esta opo, a conexo estabelecida interrompida.
Boto - Align
Ferramenta de alinhamento com sinal sonoro (Colocar o MAC do AP remoto no campo Filter e
campo udio)
Obs.: Ao utilizar esta opo, a conexo estabelecida interrompida.
Rx Quality Potncia (dBm) do ltimo pacote recebido
Avg. Rx Quality Potncia mdia dos pacotes recebidos
Last Rx Tempo em segundos do ltimo pacote recebido
Tx Quality Potncia do ltimo pacote transmitido
Last Tx Tempo em segundos do ultimo pacote transmitido
Boto Sniff
Ferramenta para sniffar o ambiente wireless captando e decifrando pacotes
Muito til para detectar ataques do tipo deauth attack e monkey jack.
Pode ser arquivado no prprio Mikrotik ou passado por streaming para outro servidor com
protocolo TZSP
Boto Snooper
Com a ferramenta Snooper possvel monitorar a carga de trfego em cada canal, por estao
ou por rede.
Esta opo escaneia as freqncias definidas em scan-list da interface.
Guia General
Name: Nome da Interface.

Type: wireless.
MTU: Unidade mxima de transferncia (bytes).
MAC Address: Endereo MAC da interface.
Chip Info / PCI Info: Informaes da placa;
ARP: - disable: no responde a solicitaes ARP. Clientes tem que acessar tabelas estticas;
- proxy-arp: passa o seu prprio MAC quando h uma requisio para algum host
interno ao roteador;
- reply-only: somente responde as requisies. Endereos de vizinhos so resolvidos
estaticamente.
Guia Wireless
Radio Name: apelido usado para identificar a interface.

Mode: Modo de operao.
- station: modo cliente de AP. No pode ser bridgeado. No passa os MACs internos,
mas somente o seu;
- station wds: estao que pode ser bridgeada, passando transparentemente os
MACs. AP precisa estar em WDS;
- ap-bridge: Modo Access Point normal;
- modo ponto de acesso para suportar um cliente somente (links ponto a ponto);
- alignment-only: modo para alinhar antenas e monitorar sinal;
- nstreme-dual-slave: para enlaces em modo nstreme dual;
- wds-slave: trabalha como ponto de acesso escravo, adaptando-se a um WDS mestre
(adapta-se s configuraes da mestre).
SSID: Nome de rede.
10
Band: Banda e modo de operao.

- 2.4Ghz-b: 802.1b at 11mbps;
- 2.4Ghz-b/g: 802.11b at 11mbps e 802.11g at 54mbps (modo misto);
- 2.4Ghz-only-g: 801.11g at 54mbps (somente clientes g);
- 2.4Ghz-g-turbo: modo proprietrio Atheros at 108mbps;
- 5Ghz: 802.11a at 54mbps;
- 5Ghz-turbo: Modo proprietrio Atheros at 108mbps;
- 2.Ghz-10Mhz: Modo cloacking, utiliza canal de 10Mhz;
- 5.Ghz-5Mhz: Modo cloacking, utiliza canal de 5Mhz.
Frequency: Freqncias de trabalho em funo da banda escolhida e do domnio regulatrio.
Scan List: lista de freqncias a serem escaneadas.
- Quando a interface est configurada como cliente, sero procuradas APs que
estiverem nessa lista;
- Por default, sero buscadas as freqncias do domnio regulatrio;
- Pode-se forar o escaneamento de freqncias especificas, colocando-as separadas
por vrgula.
Secutity Profile: Perfil de segurana. Perfis de segurana podem ser criados/alterados em
Wireless/Security profiles.
Frequency Mode:
- Regulatory domain: somente so permitidas o uso das freqncias do pas indicado
no campo Country, sendo que a potncia mxima de transmisso EIRP ser limitada de acordo
com a legislao, considerando-se o ganho de antena indicado no campo Antenna Gain;
- Manual-tx-power: os canais permitidos so os do pas selecionado mas a potncia
informada pelo operador;
- superchannel: somente possvel com a licena superchannel. Todos os canais e
potncias suportados pelo hardware sero permitidos.
Country: Pas de operao.
Antenna Gain: Ganho da antena em dBi.
DFS Mode: Modo de seleo dinmica de freqncia.
- none: No usa DFS;
- no-radar-detect: O AP escaneia os canais da scan-list e escolhe para operar na
menor freqncia detectada;
- radar-detect: O AP escaneia a partir da scan-list e escolhe a menos freqncia
detectada. Se durante 60 segundos no detectado nesse canal, ela comea a operar nesse
canal, caso contrrio continua escaneando sempre pelos canais menos ocupados.
Observao: No Brasil necessrio DFS para operar de 5250-5350 e 5470-5725 e
existem valores mnimos em dBm que, se detectados no permitida a operao
nesses canais (art. 50 da resoluo 365/2004 da Anatel).
Proprietary extensions: Mtodo para inserir informaes adicionais (proprietrias Mikrotik)
nos pacotes Wireless a fim de contornar problemas de compatibilidade com verses antigas
(antes da 2.9.25) com novos cartes Intel Centrino.
- pr-2.9.25: Inclui extenses da forma aceita por verses mais antigas do RouterOS.
Incompatvel com clientes Centrino;
11
- post-2.9.25: Extenses aceitas a partir dessa verso e compatvel com todos os

clientes conhecidos at o momento.
Default AP Tx Rate: estabelece a taxa mxima, em bps que cada cliente pode ter de
download.
Default Client Tx Rate: Estabelece a taxa mxima, em bps que cada cliente pode enviar ao
AP S funciona para cliente, tambm, Mikrotik.
Default Authenticate: (default-authentication) Especifica a ao padro a ser adotada pela
AP para os clientes Wireless que no estejam declarados nas access lists (controle de MAC).
Para os equipamentos configurados como clientes, especifica a ao a ser adotada para os APs
que no estejam na Connect List.
Yes: Como AP, deixa o cliente se associar, mesmo se no estive declarado na Access
List. Como cliente, associa-se a qualquer AP, mesmo que no esteja na Connect List.
Default Forward: (default-forwarding) Determina se poder haver comunicao entre
clientes conectados na mesma interface Wireless. Esse bloqueio feito na camada 2 de enlace
e portanto independente de IP (alguns APs tem esse recurso como IntraBSS relay).
- Yes (marcado): permite a comunicao;
- No (desmarcado): No permite a comunicao.
Observao: Quando as interfaces esto em Bridge, pode haver comunicao entre
clientes de interfaces diferentes, mesmo com esse recurso habilitado.
Hide SSID: Determine se o AP vai divulgar o nome da Rede em broadcast atravs de
beacons.
- Yes (marcado): no divulga, somente respondendo aos clientes que enviarem os
probe requests;
- No (desmarcado): divulga o nome da rede.
12
Guia Data Rates
Nesta tela possvel configurar as Taxas de transmisso suportadas e as Taxas Bsicas, sendo
que:
- Taxas Suportadas (Supported Rates): So todas as taxas que o carto que est
sendo configurado suporta.
- Taxas Bsicas (Basic Rates): So as taxas mnimas suportadas por todos os
dispositivos Wireless presentes na rede
Observao: recomenda-se deixar sempre as taxas bsicas no mnimo (1mbps)
13
Guia Advanced
rea: String alfanumrica utilizada para descrever um Access Point. Os clientes comparam
esse valor com o que estiver configurado em sua rea Prefix, e se a string toda ou pelo menos
os primeiros caracteres coincidirem estabelecida a associao.
Max Station Count: Nmero mximo de estaes que podem se conectar no AP. Limite
terico de 2007.
Ack Timeout: Tempo de expirao (timeout) do pacote de confirmao de recebimento
(acknowledgment) enviado por uma estao
- dynamic: ajuste dinmico. O roteador manda pacotes variveis e em funo da
resposta procura ajustar ao timeout ideal.
- indoors: para redes indoor.
- pode ser ajustado manualmente (valor inteiro em microssegundos) digitando-se
diretamente na interface.
Valores sugeridos de Ack-Timeout
14
Range
0Km
5Km
10Km
15Km
20Km
25Km
30Km
35Km
40Km
45Km
Chipset version
5000 (5.2Ghz only)
5211 (801.11a/b)
5212 (802.11a/b/g)
Ack-timeout
5Ghz-turbo
default
30
48
67
89
111
137
168
190
-
5Ghz
default
52
85
121
160
203
249
298
350
405
5Ghz
5Ghz-turbo
2.4Ghz-G
default
62
96
133
174
219
268
320
375
-
2Ghz-b
2Ghz-g
Default
Max
Default
Max
Default
Max
Default
Max
30
30
25
204
409
409
22
22
22
102
204
204
n/a
109
30
n/a
409
409
n/a
n/a
52
n/a
n/a
409
Observao: Esses valores so meramente referenciais e devem ser ajustados em

funo do hardware empregado e do ambiente.
Noise Floor Threshold: Piso de rudo do ambiente (em dBm).
Observao: No localizamos documentao suficiente para esclarecer a utilidade
prtica desta opo. Em princpio deve trabalhar com cartes que tenham a opo de deteco
de noise floor noise-floor-control
Periodic Calibration: Para assegurar a performance do chipset sob diversas condies de
temperatura ambiente o Mikrotik faz calibraes peridicas.
Calibration Interval: Intervalo em segundos entre as calibraes peridicas.
Default = 60 segundos.
Burst Time: Tempo em microssegundos que o carto wireless pode transmitir continuamente.
Essa opo s vlida para chipset Atheros AR5000, AR5001X e AR5001X+. A varivel de
leitura burst-support, acessvel via terminal mostra a capacidade ou no do suporte a essa
opo.
Antena
-
Mode: Permite a escolha da antena.

antena a/b: escolhe uma das antenas a ou b
tx-a/rx-b: usa a antena A para TX e a B para RX
tx-b/rx-a: usa a antena B para TX e a A para RX
Preamble Mode: escolhe o modo do prembulo (comunicao inicial e de sincronizao).

- long: padro compatvel com 802.11 em geral (mais antigo)
- short: padro suportado por alguns cartes mais modernos; porem no compatvel
com 801.11. Utilizando short, h aumento (pequeno) de performance.
- both: ambos so suportados
Compression: Quando habilitada a compresso (em modo AP-bridge ou bridge), permite que
um cliente que tenha a mesma capacidade de compresso habilitada comunique-se com o AP
comprimindo os dados (compresso de hardware) melhorando a performance. Esta opo no
afeta clientes que no tenham capacidades de compresso
15
A capacidade ou no de compresso de um dispositivo wireless pode ser vista em Interface

wireless info print.
Disconnect Timeout: Valor
desconectado.
Default = 3 segundos
em
segundos
acima
do
qual
um
cliente
considerado
On Fail Retry Time: Intervalo de tempo aps o qual repetida a comunicao para um
dispositivo wireless cuja comunicao tenha falhado.
Default: 100ms
Update Stats Interval: Periodicidade de atualizao das estatsticas da interface.
Default = 10s
Guia WDS
16
WDS Mode: Neste modo de operao todos os APs tem que estar configurados com o mesmo
nome de rede e utilizando o mesmo canal. Alm da comunicao entre APs, o WDS permite
que se conectem em qualquer dos APs estaes wireless
- disabled: WDS desabilitado
- static: As estaes WDS ficam atreladas umas s outras de forma esttica, com cada
uma referenciando o MAC de sua parceria.
- dynamic: Uma vez estabelecido o enlace, a rede WDS criada automtica e
dinamicamente.
Quando em modo dinmico, um dispositivo perde o link, a interface dinmica desaparece e se
h algum endereo IP configurado nessa interface, o estado desta mudado para unknown.
Quando o link volta esse estado no muda permanecendo unknown. Por isso no se
aconselha a colocar IPs em interfaces WDS dinmicas. Ao invs disso, utilize a default bridge
para permitir que quando o link volte interface, seja colocada automaticamente na Bridge.
Tendo em vista que WDS pressupe mesmo canal em todos os APs, fica incompatvel o uso de
DFS.
WDS Default Bridge: Uma vez criada uma Bridge em /interface bridge add, os APs
configurados em WDS podem fazer parte desta, bastando indicar neste combo. Para WDS
dinmico recomendvel que todas as interfaces estejam sobre a mesma Bridge.
WDS Default Cost: No caso de redes malhadas (Mesh) feitas com WDS podem-se definir
custos diferentes para diversos trajetos, dando preferncias a determinadas rotas de forma
manual.
WDS Cost Range: Indicao da faixa de custos que sero empregados na rede Mesh.
WDS Ignore SSID: Uma vez habilitada essa opo, os APs iro criar links com qualquer outro
AP que esteja configurado na mesma freqncia, independente do SSID configurado nas
mesmas.
Default = No.
17
Guia Nstreme
Nstreme um protocolo proprietrio Mikrotik (no 802.11) que tem por objetivo estabelecer
links de desempenho melhorado quando comparado ao padro Wi-fi Normal. Destinado
principalmente a links ponto-a-ponto, mas podendo, tambm, ser utilizado em ambientes
multiponto, desde que todos tenham nstreme habilitado (obviamente todos Mikrotik).
Enable Polling: No modo Polling as transmisses das estaes so coordenadas pelo AP
evitando as colises por n escondido. No utilizado o metido CSMA/CA comum das redes
Wi-fi.
Framer Policy: Mtodo utilizado para combinar pacotes em um quadro maior e com isso
diminuir o overhead da comunicao, aumentando consequentemente a performance.
- none: no combina os pacotes
- besti-fit: coloca o maior nmero de pacotes possveis em um frame, at que o limite
estabelecido em framer-limit seja atingido. No fragmenta pacotes.
- exact-size: pe quantos pacotes for possvel em um quadro, at que o limite
estabelecido em framer-limit seja atingido, mesmo que seja necessrio fragmentar.
- dynamic-size: escolhe o melhor tamanho do quadro, dinamicamente.
Framer Limit: Tamanho mximo do quadro.
Default = 3200 bytes
18
Guia Tx Power
Tx Power Mode: Interface utilizada para configurar a potncia de transmisso valores de 30dBm a 30dBm
Default = 17dBm
- All-rates-fixed: utiliza a mesma potncia configurada em Tx Power para todas as
velocidades.
- Card-rates: utiliza as velocidades prprias dos firmwares dos cartes
- Default: utiliza a potncia default (17dBm)
- Manual-table: permite a configurao de diversas potncias em funo da taxa de
transmisso.
Observao: A possibilidade de alterar a potncia do carto normalmente utilizada
para diminuir a potncia nominal do mesmo e no aumenta-la
19
Guia Status
Mostra informaes sobre o status do AP

- Band: Freqncia e modo de operao
- Freqncia: Canal utilizado
- Registered Clients: Clientes registrados
- Authenticated Clients: Clientes autenticados
- Overal Tx CCQ: Valor em porcentagem que mostra a eficincia da Banda de transmisso em
relao mxima banda terica disponvel no link. Esse valor calculado com base nos
pacotes Wireless que so retransmitidos no meio fsico. Quanto mais retransmisses, menos a
eficincia.
- Ack Timeout: Tempo de expirao do ACK em microssegundos.
- Noise Floor: Piso de rudo em dBm.
20
Guia Traffic
21
Menu Wireless Interfaces
Ao clicar em adicionar interfaces, so dadas as opes:

- VirtualAP: Cria interfaces virtuais (APs com nomes diferentes) na mesma interface fsica. Os
parmetros de freqncia, modo de operao, canal, etc., sero herdados do AP principal.
Criando interfaces virtuais, podemos montar vrias redes dando perfis de servios
diferentes.
Name: Nome da rede virtual

MTU: Unidade de transferncia mxima (bytes)
MAC Address: D o MAC que quiser para o novo AP
ARP
- Enable/Disable: Habilita/Desabilita
- Proxy-arp: passa seu MAC
- Reply-only
Observao: Demais configuraes idnticas de uma AP
22
- WDS: Cria uma interface WDS dando os parmetros:

- Name: Nome da rede WDS
- Master Interface: Interface sobre a qual funcionar o WDS, podendo esta inclusive ser
uma interface virtual
- WDS Address: endereo MAC que a interface ter.
- Nstreme Dual: Cria uma interface para uso como Nstreme dual utilizando duas antenas
(uma antena para Tx (Transmisso) e outra para Rx (Recepo)).
- Tx Rdio: especifica-se as interfaces de Tx.

- Rx Rdio: especifica-se as interfaces de Rx.
- Tx/Rx Band e Frequency: Especifica-se a Banda de Tx e Rx que podem inclusive ser
de frquencias diferentes (2.4Ghz para Tx e 5.8Ghz para Rx)
- Framer Policy:
- Best-fit: pacotes so agrupados em frames, sem fragmentao
- exact-size: pacotes so agrupados em frames, com fragmentao se
necessrio.
Observao: Com Nstreme dual possvel escolher as velocidades de transmisso e
recepo e ainda monitorar o status das conexes.
23
Menu Wireless Access List
O Access List utilizado pelo Access Point para restringir associaes de clientes. Esta lista
contm os endereos MAC de clientes e determina qual a ao deve ser tomada quando um
cliente tenta conectar. A comunicao entre clientes da mesma interface, virtual ou real,
tambm controlada nos Access List.
O processo de associao ocorre da seguinte forma:
- Um cliente tenta se associar a uma interface WlanX
- Seu MAC procurado no Access List da interface WlanX
- Caso encontrada a ao especificada ser tomada:
- Authentication marcado: deixa o cliente se autenticar
- Forwarding marcado, o cliente se comunica com outros
-
MAC Address: MAC a ser liberado

Interface: Interface Real ou Virtual onde ser feito o controle
AP Tx Limit: Limite de trfego do AP para o Cliente
Client Tx Limit: Limite de trfego do Cliente para o AP (apenas se cliente Mikrotik)
Authentication: Habilitado, autentica os MACs declarados.
Forwarding: Habilitado, permite a comunicao entre clientes habilitados (intra bss)
Private Key: Chave de criptografia
- 40bit wep
- 128 bit wep
- Aes-com
24
Menu Wireless Security Profiles
Na tabela Security Profiles so definidos os perfis de segurana da parte Wireless que poder
ser utilizados no RouterOS.
- Name: Nome que aparecer em outras telas, referenciando esse perfil.
- Mode: Modo de operao
- dynamic keys: gera chaves dinmicas
- static-keys-required: criptografia todos os pacotes e somente aceita pacotes
criptografados.
- static-keys-optional: se existe uma chave privada esttica de estao (static-staprivate-key), esta ser utilizada. Caso contrrio, estando a estao no modo AP, no ser
utilizada criptografia e em modo estao usar se estiver setada a static-transmit-key.
- Authentication Types
Evoluo dos padres de Segurana wireless
+ SEGURANA
WPA2 (802.11i) com EAP

WPA2 (802.11i) com PSK
WPA com AES ccm
WPA com MD5
WEP com TKIP
WEP 128 bits
- WPA: Mtido no padro IEEE utilizado surante algum tempo pela indstria para evitar
problemas do WEP
- WPA2: Mtodo compatvel com 802.11i do IEEE
- PSK (Pr Shared Key): chave compartilhada entre dois dispositivos.
- EAP: Extensive Authentication Protocol
Observao: O AP ir divulgar todos os modos de autenticao marcados aqui e as
estaes escolhero o mtodo considerando mais seguro.
Exemplo: WPA EAP ao invs de WPA PSK
25
- Unicast Chipers
- TKIP: Protocolo de integridade de chave Temporal. Mtodo utilizado durante algum
tempo para contornar problemas da WEP (Proxim implementa como WEP Plus).
- AES CCM: Mtodo de criptografia WPA mais seguro, que utiliza algoritimo AES.
- PSK (Pr Shared Key): chave compartilhada entre dois dispositivos.
- EAP: Extensive Authentication Protocol
Observao: O AP ir divulgar todos os modos de autenticao marcados aqui e as
estaes escolhero o mtodo considerando mais seguro.
Exemplo: WPA EAP ao invs de WPA PSK
- Mtodos EAP
- Passtrough: Repassa o pedido de autenticao para um Servidor Radius (esta opo

somente usada em APs)
- EAP/TLS: Utiliza um Certificado TLS (Transport Layer Certificate)
- TLS Mode:
- No-certificate: Certificados so negociados dinamicamente utilizando o
algoritmo de Deffie-Helmman.
- Dont-verify-certificate: exige o certificado, porm no o confere com uma
entidade certificadora.
- Verify-certificate: exige e verifica o certificado.
- TLS Certificate: Habilita um certificado importado em /Certificates
26
- Static Keys: Utilizado em caso de WEP
27
AP-BRIDGE
Bridge ou ponte, um dispositivo que liga duas redes que usam protocolos distintos, ou dois
segmentos da mesma rede que usam o mesmo protocolo, por exemplo ethernet ou token ring.
Uma bridge ignora os protocolos utilizados nos dois segmentos que liga, j que opera a um
nvel muito baixo do modelo OSI (nvel 2); somente envia dados de acordo com o endereo do
pacote. Este endereo no o endereo IP (internet protocol) mas o MAC (media access
control) que nico para cada placa de rede. Os nicos dados que so permitidos atravessar
uma bridge so dados destinados a endereos vlidos no outro lado da ponte. Desta forma
possvel utilizar uma bridge para manter um segmento da rede livre dos dados que pertencem
a um outro segmento.
Configurando AP-Bridge no Mikrotik:
- Clique no menu Interfaces.
- Clique na interface Wlan desejada e clique no boto Habilitar
28
- D um clique duplo na interface habilitada

- Na guia Wireless, configure as opes:
- Opo
rede.
- Opo
- Opo
- Opo
- Clique
Radio Name: Coloque nessa opo o nome que voc deseja que o Rdio tenha na
Mode: AP Bridge
Band: Escolha a Banda de Operao desejada
Frequency: Canal de operao do equipamento
no boto OK
29
- Clique na guia Tx Power para escolher a potncia do carto, considerando:

17dBm
18dBm
20dBm
22dBm
23dBm
24dBm
25dBm
26dBm
50mW (default)
=
63mW
=
100mW
=
150mW
=
200mW
=
250mW
=
316mW
=
400mW
Obs: Verifique a potncia mxima permitida para o carto utilizado antes de fazer a alterao.
30
- Clique no Menu Bridge

- Clique em Adicionar
- Na guia General, na opo Name, digite um nome para a sua nova interface bridge. Em
nosso exemplo, manteremos o nome default: bridge1
- Clique no boto OK
31
Clique na guia Ports

Clique em Adicionar
Na opo Interface, selecione a opo ether1
Na opo Bridge, deixe como bridge1
- Clique no boto OK
32
Clique na guia Ports, novamente

Clique em Adicionar nova entrada
Na opo Interface, selecione a opo wlan1
Na opo Bridge, deixe como bridge1
- Clique no boto OK
33
Atribuir um IP a interface Bridge
- Clique no menu IP
- Clique na opo Addresses
34
- Clique no boto Adicionar

- Coloque o IP que voc deseja com os bits correspondentes (veja tabela na ltima imagem)
Ex.:
192.168.0.1/24 (255 IPs)

192.168.0.1/29 (6 IPs)
Decimal
255.255.255.252
255.255.255.248
255.255.255.240
255.255.255.224
255.255.255.192
255.255.255.128
255.255.255.0
255.255.254.0
255.255.252.0
255.255.248.0
255.255.240.0
255.255.224.0
255.255.192.0
255.255.128.0
255.255.0.0
255.254.0.0
255.252.0.0
255.248.0.0
255.240.0.0
255.224.0.0
255.192.0.0
255.128.0.0
255.0.0.0
Bits
30
29
28
27
26
25
24
23
22
21
20
19
18
17
16
15
14
13
12
11
10
9
8
Common Use
2 Host Subnet
6 Host Subnet
14 Host Subnet
30 Host Subnet
32 Host Subnet
126 Host Subnet
254 Host Net/Subnet
510 Host Subnet
1.022 Host Subnet
2.046 Host Subnet
4.094 Host Subnet
8.190 Host Subnet
16.382 Host Subnet
32.766 Host Subnet
65.534 Host Net/Subnet
131.070 Host Subnet
262.142 Host Subnet
524.286 Host Subnet
1.048.574 Host Subnet
35
- Em Interface, escolha a bridge criada anteriormente.
- Clique no boto OK
36
BRIDGE TRANSPARENTE ENTRE DOIS PONTOS UTILIZANDO WDS
37
RDIO 1
Crie uma interface bridge
Clique no menu Bridge
Clique em adicionar para que uma nova interface bridge seja criada.
38
No campo Name, digite o nome da interface bridge (exemplo: wds-bridge)
Clique no boto OK
39
- Clique na guia Ports

Ser necessrio adicionar as portas Ether1 e Wlan1 bridge criada
- Clique em adicionar
- Em Interface, escolha ether1
- Em Bridge, escolha a bridge criada: wds-bridge
- Clique no boto OK
40
- Clique novamente em adicionar

- Em Interface, escolha wlan1
- Clique no boto OK
Para que haja comunicao entre os dois equipamentos, um roteador deve ser configurado
como AP (station WDS) e o outro deve ser configurado como Station
41
CONFIGURAO DO AP (STATION WDS)

- Clique no menu Wireless
- D um clique duplo na interface wlan1
Na guia Wireless, configure os seguintes campos:
- Radio name: Digite o nome do rdio
- Mode: Escolha a opo station wds
- SSID: digite um SSID
- Band: Escolha a banda 2Ghz 10Mhz (para trabalhar em 900Mhz)
- Frequency: Escolha o canal 2427 (Canal 4)
Obs: Para trabalhar com 900Mhz, deve-se usar somente os canais de 3 a 6.
42
- Localize a guia WDS e clique nela

- No campo WDS Mode, escolha a opo dynamic
- No campo WDS Default Bridge, escolha a bridge criada (wds-bridge)
- Clique no boto OK
43
- Escolha a opo WDS
- Em Master Interface, escolha a opo wlan1
- Clique no boto OK
44
45
Adicione o IP da interface Bridge

Clique no menu IP
Clique na opo Addresses
Clique em adicionar
Digite o IP 10.0.0.215/24
Em Interface, escolha a bridge criada (wds-bridge)
- Clique no boto OK
46
RDIO 2
Para a configurao do outro ponto (bridge), configure como abaixo:
- Crie uma interface bridge
- Clique no menu Bridge
- Clique em adicionar para que uma nova interface bridge seja criada.
47
- No campo Name, digite o nome da interface bridge (exemplo: wds-bridge)
- Clique no boto OK
48
- Clique na guia Ports

Ser necessrio adicionar as portas Ether1 e Wlan1 bridge criada
- Em Interface, escolha ether1
- Clique no boto OK
49
Clique novamente em adicionar

- Em Interface, escolha wlan1
- Clique no boto OK
Para que haja comunicao entre os dois equipamentos, um roteador deve ser configurado
como AP (station WDS) e o outro deve ser configurado como Station
50
CONFIGURAO DO CLIENTE (BRIDGE)

- Clique no menu Wireless
- D um clique duplo na interface wlan1
Na guia Wireless, configure os seguintes campos:

-
Radio name: Digite o nome do rdio

Mode: Escolha a opo bridge
SSID: digite o mesmo SSID do Rdio 1
Band: Escolha a banda 2Ghz 10Mhz (para trabalhar em 900Mhz)
Frequency: Escolha o canal 2427 (Canal 4)
Obs: Para trabalhar com 900Mhz, deve-se usar somente os canais de 3 a 6.
51
- Localize a guia WDS e clique nela

- No campo WDS Mode, escolha a opo dynamic
- No campo WDS Default Bridge, escolha a bridge criada (wds-bridge)
- Clique no boto OK
52
Adicione o IP da interface Bridge

-
Clique no menu IP
Clique na opo Addresses
Clique em adicionar
Digite o IP 10.0.0.216/24
Em Interface, escolha a bridge criada (wds-bridge)
- Clique no boto OK
A configurao est completa.
53
CONTROLE DE CLIENTES APENAS POR MAC

-
Clique no menu Wireless

Clique na guia Access List
Clique em + para adicionar uma nova regra
Em MAC Address, digite o MAC da placa do cliente
Escolha a interface onde o cliente estar conectado em Interface
- Clique no boto OK
54
- Basta repetir os ltimos passos at cadastrar todos os usurios.
55
- Clique na guia Interfaces

- D um clique duplo na interface que voc quer ativar o controle por MAC
- Na guia Wireless, desative as opes:
- Default Authenticate
- Default Forward (impede que os clientes se vem na interface)
- Clique no boto OK
56
CONTROLE DE BANDA Simple Queue

As Filas simples (Simple Queue) a meneira mais fcil de se controlar a velocidade dos
clientes. Elas permitem configurar as velocidades de upload e download com apenas uma
entrada.
- Clique no Menu Queues
57
As propriedades configurveis de uma fila simples so:

- Limite por direo IP de origem ou destino
- Interface do cliente
- Tipo de fila
- Configuraes de limit-at, max-limit, priority e bursts para download e upload
- Configuraes de limit-at, max-limit, priority e bursts para velocidade agregada
COMO FUNCIONA O BURST
Bursts so usados para permitir altas taxas de dados por um curto perodo de tempo.
Os parmetros que controlam o Burst so:
- burst-limit: limite mximo que alcanar
- burst-time: tempo que durar o burst
- burst-threshold: patamar onde comea a limitar
- max-limit: MIR
Exemplo:
Max-limit=256kbps
Burst-time=8s
Burst-threshold=192kbps
Burst-limit=512kbps
58
- dado ao cliente inicialmente a banda burst-limit=512kbps. O algoritmo calcula a taxa mdia

de consumo de banda durante o burst-time de 8 segundos.
- com 1 segundo a taxa mdia (0+0+0+0+0+0+0+512)/8 = 64kbps (abaixo do threshold)
- com 2 segundos j de (0+0+0+0+0+0512+512)/8 = 128kbps (abaixo do threshold)
- com 3 segundos (0+0+0+0+0+512+512+512)/8 = 192kbps ( o ponto de inflexo onde
acaba o burst)
A partir do momento que foi atingido o ponto de inflexo, o Burst desabilitado e a taxa
mxima do cliente passa a ser o max-limit
59
LIMITAO DE BANDA PARA P2P

Para fazer a limitao de banda para P2P dever ser usado algumas regras utilizando o Firewall
e o Queue
FIREWALL
- Clique no menu IP
- Clique na opo Firewall
60
- clique na guia Mangle

- na Guia General, na opo Chain, escolha a opo prerouting
- na opo P2P, escolha a opo all-p2p
61
Clique na guia Action

Na opo Action, escolha mark connection
Na opo New Connection Mark, digite um nome para a marcao da conexo
Mantenha a opo Passthrough ativada
Clique no boto OK
62
- Clique novamente em Adicionar

- Na guia General, na opo Chain, escolha a opo prerouting
- Na opo Connection Mark, escolha a marcao criada na regra anterior.
63
Clique na
Na opo
Na opo
Clique no
guia Action
Action, escolha a opo mark packet
New Packet Mark, digite um nome para a marcao dos pacotes
boto OK
64
QUEUE
- Clique no menu Queue
- Clique na guia Queue Tree
- Na guia General, na opo Name, digite um nome para a regra
- Na opo Parent, escolha a opo global-in
- Na opo Packet Mark, escolha a marcao dos pacotes criada anteriormente
- Na opo Queue Type, escolha a opo default
- Na opo Priority, permanea com o nmero 8
- Na opo Max Limit, digite o limite mximo permitido (utilize k (minsculo) ou M
(maisculo) aps sua opo)
- Clique no boto OK
65
- Clique novamente em Adicionar

- Na guia General, na opo Name, digite um nome para a regra
- Na opo Parent, escolha a opo global-out
- Na opo Packet Mark, escolha a marcao dos pacotes criada anteriormente
- Na opo Queue Type, escolha a opo default
- Na opo Priority, permanea com o nmero 8
- Na opo Max Limit, digite o limite mximo permitido (utilize k (minsculo) ou M
(maisculo) aps sua opo)
- Clique no boto OK
66
REPETIDORA WIRELESS UTILIZANDO WDS

Este exemplo mostra como configurar um repetidor wireless. O repetidor wireless estende a
escala de um WLAN existente em vez de adicionar mais pontos de acesso. Considere a
disposio da rede:
CASO 1
Conforme imagem acima, usaremos duas interfaces wireless (duas antenas) no router
repetidor. Os links WDS sero estabelecidos entre o 'Main gateway' e o 'repetidor ', e entre o
repetidor' e o 'AP1' (os usurios finais so conectados na omni do AP1).
CASO 2
Conforme esta outra imagem, usaremos duas interfaces wireless (duas antenas) no router
repetidor. Os links WDS sero estabelecidos entre o 'Main gateway' e o 'repetidor ', e entre o
repetidor' e o 'AP1', sendo que os usurios finais podero se conectar na antena omni da
repetidora e na antena omni do AP1.
67
Configurao do Equipamento 1 - Main Gateway

- Acesse o RouterOS Main Gateway atravs do Winbox
68
- Clique no menu Interface

- Habilite a interface wireless
69
Configure a interface wireless, dando um clique duplo nela

- Clique na guia Wireless
- Em Radio Name, digite um nome para identificao da interface;
- Em Mode, escolha a opo bridge;
- Em SSID, digite um nome para identificao da interface na Rede;
- Em Band, escolha a banda desejada, em nosso caso: 2.4Ghz-B/G (dever ser a mesma
banda escolhida na outra ponta do enlace);
- Em Frequency, escolha o canal que melhor lhe convier (dever ser o mesmo canal escolhido
na outra ponta do enlace).
Observao importante: As disposies dos canais so importantes para que haja o
mnimo de interferncia possvel. Utilize:
- Enlace 1 = Canal 1
- Enlace 2 Canal 6
- Enlace 3 = Canal 11
- Clique no boto OK
70
- Clique na guia WDS

- Em WDS Mode, escolha a opo static
- Ative a opo WDS Ignore SSID
- Clique no boto OK
71
- Em Interface, clique em Adicionar

- Clique na opo WDS
72

- Em Master Interface, escolha a interface wlan1
- Em WDS Address, digite o MAC da interface wlan1 do Equipamento Repetidora
- Clique no boto OK
73
- Clique o Menu Bridge

- Clique no boto OK
74

Clique em Adicionar
Em Interface, escolha a opo ether1
Em Bridge, escolha a opo bridge1
- Clique no boto OK
75
- Em Interface, escolha a opo wlan1
- Em Bridge, escolha a opo bridge1
- Clique no boto OK
76
- Em Interface, escolha a opo wds1
- Clique no boto OK
77
- Clique na guia IP, opo Address
78
- Em Address, digite um IP para o seu primeiro equipamento, em nosso caso: 192.168.0.1/24
- Em Interface, escolha a opo bridge1
- Clique no boto OK
79
Configurao do Equipamento 2 - Repetidora
Acesse o RouterOS Repetidora atravs do Winbox
80

81
Configure a interface wireless wlan1, dando um clique duplo nela

- Em Band, escolha a banda desejada, em nosso caso: 2.4Ghz-B/G (a mesma banda escolhida
na interface do Equipamento Main Gateway);
- Em Frequency, escolha o canal que melhor lhe convier (o mesmo canal escolhido na interface
do Equipamento Main Gateway).
- Clique no boto OK
82

- Clique no boto OK
83

- Clique na opo WDS
84

- Em WDS Address, digite o MAC da interface wlan1 do Equipamento Main Gateway
- Clique no boto OK
85
Configure a interface wireless wlan2, dando um clique duplo nela no menu Interface.
na interface do Equipamento AP1);
do Equipamento AP1).
- Clique no boto OK
Para permitir que usurios finais se conectem a esta interface (utilizando antena omni ou
setorial, por exemplo, de acordo com o CASO 2 no incio deste manual) em Mode, escolha a
opo ap-bridge.
86

- Clique no boto OK
87

- Clique na opo WDS
88

- Em WDS Address, digite o MAC da interface wlan1 do Equipamento AP1
- Clique no boto OK
89

- Clique no boto OK
90

Clique em Adicionar
- Clique no boto OK
91
- Clique no boto OK
92
- Clique no boto OK
93
- Clique no boto OK
94
- Clique no boto OK
95
- Clique na guia IP, opo Address
96
- Clique no boto OK
97
Configurao do Equipamento 1 AP1
Acesse o RouterOS Repetidora atravs do Winbox
98

99
Configure a interface wireless wlan1, dando um clique duplo nela

na interface do Equipamento Repetidora);
do Equipamento Repetidora).
- Clique no boto OK
100
Clique na guia WDS

- Clique no boto OK
101

- Clique na opo WDS
102

- Em WDS Address, digite o MAC da interface wlan2 do Equipamento Repetidora
- Clique no boto OK
103
Configure a interface wireless wlan2, dando um clique duplo nela no menu Interface.
- Em Mode, escolha a opo ap bridge;
- Em Band, escolha a banda desejada, em nosso caso: 2.4Ghz-B/G;
- Em Frequency, escolha o canal que melhor lhe convier;
- Clique no boto OK.
104

- Clique no boto OK
105

Clique em Adicionar
- Clique no boto OK
106
- Clique no boto OK
107
- Clique no boto OK
108
- Clique no boto OK
109
Clique na guia IP, opo Address
110
Clique em Adicionar
- Clique no boto OK
111
NAT
Em redes de computadores, NAT, Network Address Translation, tambm conhecido como
masquerading uma tcnica que consiste em reescrever os endereos IP de origem de um
pacote que passam sobre um roteador ou firewall de maneira que um computador de uma
rede interna tenha acesso ao exterior (rede pblica). Exemplo:
A estao com IP 192.168.1.13 faz uma requisio, por exemplo, para um endereo externo.
O pacote sai com o IP da estao e corre em direo ao intermediador entre ambiente interno
e externo, o gateway. O gateway, atravs do protocolo NAT mascara o IP da estao com seu
IP (200.158.112.126 - que vlido na internet) assim fazendo com que o pacote seja
entregue no destino solicitado pela estao. No retorno do pacote, ele parte do endereo
externo, chega a nossa rede no servidor NAT (200.158.112.126) e l volta ater o IP da
estao assim chegando estao (192.168.1.13).
Esta foi uma medida de reao face previso da exausto do espao de endereamento IP, e
rapidamente adaptada para redes privadas tambm por questes econmicas (no incio da
Internet os endereos IP alugavam-se, quer individualmente quer por classes/grupos).
Um computador atrs de um roteador gateway NAT tem um endereo IP dentro de uma gama
especial, prpria para redes internas. Como tal, ao aceder ao exterior, o gateway seria capaz
de encaminhar os seus pacotes para o destino, embora a resposta nunca chegasse, uma vez
que os roteadores entre a comunicao no saberiam reencaminhar a resposta (imagine-se
que um desses roteadores estava includo em outra rede privada que, por ventura, usava o
mesmo espao de endereamento). Duas situaes poderiam ocorrer: ou o pacote seria
indefinidamente (1) reencaminhado, ou seria encaminhado para uma rede errada e jogado fora.
(1)
na verdade, existe um tempo de vida para os pacotes IP serem reencaminhados.
NAT-Network Address Translation, a designao dada tcnica de converso de endereos,

quando se pretende que um pacote passe de uma rede privada para uma rede pblica
(internet)
112
Configurando o NAT no Mikrotik:
- Clique no menu IP
113
- Clique na guia NAT

- Na guia General, na opo Chain, escolha a opo srcnat
- Na opo Out. Interface (interface de sada), escolha a interface de sada para a internet. Em
nosso caso, do exemplo: ether1
- Clique no boto Apply
114

Na opo Action, escolha a opo masquerade
Clique no boto Comment
Digite um comentrio para identificar a regra criada. Ex: NAT
- Clique no boto OK
- Clique no boto OK
115
116
LIMITAR CONEXES POR IP

Esta opo utilizada para limitar as conexes dos clientes conectados ao Mikrotik.
117
Clique na guia Filter Rules.

Na guia General, na opo Chain, escolha a opo forward.
Na opo Src. Address, digite o IP do cliente a ser limitado.
Na opo Protocol, escolha o protocolo TCP
Clique no boto Apply
118
Clique na guia Advanced

Clique na opo TCP Flags
Escolha a opo syn
Clique no boto Apply
119
- Clique na guia Extra

- Clique na opo Connection Limit
- Na opo Limit, digite a quantidade de conexes que voc quer permitir para o IP
escolhido.
- Na opo Netmask, deixe a quantidade default (32)
120
- Clique na guia Action

- Na opo Action, escolha a opo drop
- Clique no boto Comment e digite um comentrio para a nova regra criada
- Clique no boto Ok
121
DESABILITAR E HABILITAR CONEXES P2P

Voc pode criar uma regra do Firewall e usar Scripts para habilitar ou desabilitar essa regra
com apenas um clique.
- Clique no menu IP
122
- Na guia General, na opo Chain, escolha a opo forward
- Na opo P2P, escolha a opo all-P2P
123

Na opo Action, escolha a opo drop
Clique no boto Comment
Digite uma identificao para a nova regra que est sendo criada
- Clique no boto OK
- Clique no boto OK
124
Criando Scripts
- Clique no menu System

- Clique na opo Scripts
125
Clique em Adicionar
No campo Name, digite: Liberar_P2P
Na opo Policy, desative a opo password
No campo Source, digite o seguinte script:
ip firewall filter disable [/ip firewall filter find p2p=all-p2p]
- Clique no boto OK
126
Clique em Adicionar, novamente

No campo Name, digite: Parar_P2P
Na opo Policy, desative a opo password
No campo Source, digite o seguinte script:
ip firewall filter enable [/ip firewall filter find p2p=all-p2p]
- Clique no boto OK
127
- Se voc clicar no Script Liberar_P2P e clicar no boto Run Script, de acordo com o script,
a regra do firewall ficar desabilitada.
128
- Se voc clicar no Script Parar_P2P e clicar no boto Run Script, de acordo com o script, a
regra do firewall ficar habilitada.
129
FAZENDO BACKUP E RESTAURANDO O BACKUP

BACKUP
- Clique no menu Files
- Para fazer o Backup, clique no boto backup
130
- O mikrotik ir gerar o backup dos arquivos em um arquivo com a extenso .backup.

Observao: recomendvel que o arquivo seja copiado para algum lugar fora do
Mikrotik. No caso do Windows, selecione o arquivo .backup, clique no boto
copiar. No Windows Explorer, cole em sua pasta de preferncia.
131
RESTAURANDO O BACKUP
- Selecione o arquivo com a extenso .backup e clique no boto Restore
Na janela de confirmao, clique em Yes. O Router ser reiniciado.
132
ATRELANDO IP AO MAC
- Clique no menu IP
- Clique na opo ARP
133
- Na opo IP Address, digite o IP do cliente
- Na opo MAC Address, digite o MAC do cliente
- Na opo Interface, escolha a interface na qual o cliente ir se conectar.
- Clique no boto Comment e digite algo para identificar a entrada (por exemplo: nome do
cliente)
- Clique no boto OK
- Clique no boto OK
- Clique no menu Interfaces
134
- D um clique duplo na interface que estar recebendo os clientes com o atrelamento de IP ao

MAC.
- Na guia General, na opo ARP, escolha a opo reply-only
- Clique no boto OK
135
HOTSPOT
Hotspot um termo utilizado para se referir a uma rea pblica onde est disponvel um
servio de acesso a Internet, normalmente atravs de uma rede sem fio Wi-Fi. Aplicaes
tpicas incluem o acesso em Hotis, Aeroportos, Shoppings, Universidades, etc.
O conceito Hotspot pode ser usado, no entanto, para dar acesso controlado a uma rede
qualquer, com ou sem fio, atravs de autenticao baseada em nome de usurio e senha.
Quando em uma rea coberta por um Hotspot, um usurio que possua um Laptop e tente
navegar pela WEB arremetido para uma pgina do Hotspot que pede suas credenciais,
normalmente usurio e senha. Ao fornec-las e sendo um cliente autorizado pelo Hotspot o
usurio ganha acesso internet, podendo sua atividade ser controlada e bilhetada.
Considerando a estrutura da imagem abaixo:
136
Primeiramente devemos habilitar as interfaces e configurar a interface que ser o hotspot.

- Clique no menu Interfaces.
- Clique na interface Wlan desejada e clique no boto Habilitar
137
- D um clique duplo na interface habilitada

- Na guia Wireless, configure as opes:
- Opo Radio Name: Coloque nessa opo o nome que voc deseja que o Rdio tenha na
rede.
- Opo Mode: AP Bridge
- Opo Band: Escolha a Banda de Operao desejada
- Opo Frequency: Canal de operao do equipamento
- Clique no boto OK
138
- Clique na guia Tx Power para escolher a potncia do carto, considerando:

17dBm
18dBm
20dBm
22dBm
23dBm
24dBm
25dBm
26dBm
50mW (default)
=
63mW
=
100mW
=
150mW
=
200mW
=
250mW
=
316mW
=
400mW
Obs: Verifique a potncia mxima permitida para o carto utilizado antes de fazer a alterao.
139
Devemos configurar os IPs para as suas respectivas interfaces:
140
Devemos definir o Gateway de sada para a internet

- Clique no menu IP
- Clique na opo Routes
141
- No campo Gateway, digite o IP do servidor Gateway.
- Clique no boto OK
142
Se voc possuir um Certificado de Segurana, faa a transferncia dele para o Mikrotik atravs
de FTP, utilizando qualquer cliente de FTP:
O QUE SSL?
SSL ( Secure Sockets Layer) uma tecnologia de segurana que comumente
utilizada para codificar os dados trafegados entre o computador do usurio e o um
website. O protocolo SSL, atravs de um processo de criptografia dos dados,
previne que os dados trafegados possam ser capturados, ou mesmo alterados no
seu curso entre o navegador (browser) do usurio e o site com o qual ele est se
relacionando, garantindo desta forma informaes sigilosas como login e senha,
neste nosso caso.
Uma sugesto: Pode-se contratar um Certificado de Segurana atravs do site:
http://www.laniway.com.br/br/corporativo/certificado.do;jsessionid=441CFD641B6F
5981DE6594BF96E3D5FD
143
O prximo passo ser fazer a importao do Certificado

-
Clique no
Clique no
Na opo
Na opo
Clique no
menu Certificate
boto Import
Only File, escolha o Certificado que voc transferiu anteriormente.
Passphrase, digite a senha do seu Certificado
boto Import
144
Seu Certificado estar importado
145
- Clique no menu IP
- Clique na opo Hotspot
146
- Clique no boto Setup

- Selecione a interface onde os clientes se conectaro ao Hotspot.
- Clique no boto Next
147
- No campo Local Address of Network aparecer o IP da interface escolhida.

148
- No campo Address Pool of Network aparecer o pool dos IPs que sero distribudos aos
clientes. Em nosso exemplo, sugerido pelo Mikrotik o pool: 192.168.0.2-192.168.0.249
149
- Na opo Select Certificate escolha o certificado importado anteriormente. Caso voc no

tenha nenhum certificado, escolha a opo none.
150
- Na opo IP Address of SMTP Server, digite o IP de seu Servidor SMTP, se desejar.

151
- Na opo DNS Servers digite o IP do seu servidor DNS.

152
- Na opo DNS Name, D o nome do DNS (aparecer no Browser dos clientes ao invs do
IP).
153
- Na tela seguinte, por default, cadastrado o usurio Administrador (admin).

- Aps o cadastro, clique no boto Next
Seu Hotspot est configurado.

Embora tenha sido uma configurao fcil e rpida, o Mikrotik se encarregou de fazer o
trabalho pesado, criando as regras apropriadas no Firewall, bem como uma fila especfica para
o Hotspot.
154
DETALHES DA CONFIGURAO
- idle Timeout (time | none; default: none)

Mximo perodo de inatividade para clientes autorizados. utilizado para detectar quais
clientes no esto usando redes externas (internet) e que no h trfego do cliente atravs do
roteador. Atingindo o timeout, o cliente derrubado da lista dos hosts, o endereo IP liberado
e a sesso contabilizada a menos desse valor.
- Keepalive Timeout (time | none; default: 00:02:00)
Utilizado para detector se o computador do cliente est ativo e encontrvel. Caso nesse
perodo de tempo o teste falhe, o usurio tirado da tabela de hosts e o endereo IP que ele
estava usando liberado. O tempo contabilizado levando em considerao o momento da
desconexo menos o valor configurado (2 minutos por default).
- Address Per MAC (integer | unlimited; default 2)
Nmero de IPs permitidos para um particular MAC.
155
HOTSPOT SERVER PROFILES
- Rate Limit (rx/tx): (text; default: )

A limitao de velocidade tem a sintaxe:
rx-rate[/tx-rate][rx-burst-rate[/tx-burst-rate][rx-burst-threshold[/tx-burst-threshold][rxburst-time[/tx-burst-time]]]]
onde:
- rx e o upload do cliente e tx o download do cliente;
- as velocidades podem ser nmeros com opcionais k (1.000s) e M para kiloo e Mega;
- se tx-rate no especificado, tem o mesmo valor de rx-rate;
- o mesmo para tx-burst-rate, tx-burst-threshold e tx-burst-time;
- se ambos rx-burst-threshold e tx-burst-threshold no so especificados (mas burst-rate
sim), rx-rate e tx-rate so usados como burst threshold;
- se ambos rx-burst-time e tx-burst-time no so especificados, 1s usado como default.
156
Login By
- MAC
- Tenta usar o MAC dos clientes primeiro como nome de usurio. Se existir na
tabela de usurios local ou em um Radius, o cliente liberado sem login/senha;
- HTTP CHAP - Usa mtodo CHAP Mtodo criptografado;
- HTTP PAP
- Usa autenticao como texto plano pode ser sniffado facilmente;
- Cookie
- Usa http cookies para autenticar sem pedir as credenciais. Se o cliente ainda
no tiver um cookie ou tiver expirado, usa outro mtodo;
- HTTPS
- Usa tnel SSL criptografado. Para isso funcionar, um certificado vlido deve
ser importado para o roteador.
- Trial
- No requer autenticao por um certo perodo de tempo.
HTTP Cookie Lifetime: tempo de vida dos Cookies
Split User Domain: corta o domnio do usurio no caso de usurio@dominio.com.br
157
Utilizao de Servidor Radius para autenticao do Hotspot
- Location ID
Pode ser atribudo aqui ou no servidor Radius Normalmente deixar em branco
- Location Name
Pode ser atribudo aqui ou no servidor Radius Normalmente deixar em branco
- Accounting
Se habilitado, faz a bilhetagem dos usurios, com histrico de logins, desconexes, etc.
- Interim Update
Freqncia de envio de informaes de accounting (segundos)
0 assim que ocorre o evento
(Gera trfego Interessante que coloque 30 ou 60s)
- NAS Port Type
Wireless, Ethernet ou Cabo
158
HOTSPOT USER PROFILES

O user profiles servem para dar tratamento diferenciado a grupos de usurios, como, por
exemplo, usurios coorporativos, usurios residenciais, etc.
- Session Timeout: Tempo mximo permitido (depois disso o cliente derrubado)

- Idle timeout: perodo de inatividade (acesso externo)
- Keepalive Timeout: se o computador est vivo e tem conectividade
- Status Autorefresh: tempo de refresh da pgina de Status do Hotspot
- Shared Users: nmero mximo permitido de clientes com o mesmo username
- Rate Limit (tx/rx): A limitao de velocidade tem a sintaxe:
rx-rate[/tx-rate][rx-burst-rate[/tx-burst-rate][rx-burst-threshold[/tx-burst-threshold][rxburst-time[/tx-burst-time]]]]
onde:
- rx e o upload do cliente e tx o download do cliente;
- as velocidades podem ser nmeros com opcionais k (1.000s) e M para kiloo e Mega;
- se tx-rate no especificado, tem o mesmo valor de rx-rate;
- o mesmo para tx-burst-rate, tx-burst-threshold e tx-burst-time;
- se ambos rx-burst-threshold e tx-burst-threshold no so especificados (mas burstrate sim), rx-rate e tx-rate so usados como burst threshold;
- se ambos rx-burst-time e tx-burst-time no so especificados, 1s usado como
default.
159
Com a opo Advertise possvel enviar, de tempos em tempos, pop-ups para os usurios do
Hotspot
- Advertise URL
Lista das pginas que sero anunciadas. A lista cclica, ou seja, quando a ltima mostrada,
comea-se novamente pela primeira.
- Advertise Interval
Intervalos de exibio dos pop-ups. Depois da seqncia terminada, usa sempre o ltimo
intervalo. No exemplo, so mostradas a cada 15 minutos, 2 vezes e depois a cada 30 minutos
- Advertise Timeout
Quanto tempo deve esperar para o anncio ser mostrado, antes de bloquear o acesso rede
com o Walled-Garden
- pode ser configurado um tempo (default = 1 minuto)
- nunca bloquear
- bloquear imediatamente
160
O Mikrotik possui uma linguagem interna de scripts que podem ser adicionados para serem
executados em alguma situao especfica
No hotspot possvel criar scripts que executem comandos a medida que um usurio desse
perfil se conecta ou se desconecta do Hotspot
Os parmetros que controlam essas execues, so:

- on-login
- on-logout
Os Scripts so adicionados em Menu System / Scripts
161
Devemos, agora, cadastrar os usurios que tero permisso para se conectar ao Hotspot.
- Em Hotspot, clique na guia Users
- Clique na guia General
- Campo Server: all para todos os hotspots configurados ou para um especfico.
- Campo Name: Nome do usurio (login). No caso de autenticao por MAC, o MAC
pode ser adicionado como username (sem senha)
- Campo Password: para digitar a senha
- Campo Address: Caso queira vincular esse usurio a um endereo fixo
- Campo MAC Address: caso queira vincular esse usurio a um MAC determinado
- Campo Profile: Perfil de onde esse usurio herda as propriedades
- Campo Routes: Rota que ser adicionada ao cliente quando esse se conectar. Sintaxe
de destino gateway mtrica. Vrias rotas podem ser adicionadas separadas por vrgula.
162
- Clique na Guia limits

- Campo Limit Uptime: Total de tempo que o usurio pode usar o Hotspot. til para
fazer acesso pr-pago.
Sintaxe: hh:mm:ss.
Default: 0s Sem limite
- Campo Limit Bytes In: Total de bytes que o usurio pode transmitir (bytes que o
roteador recebe para o usurio).
- Campo Limit Bytes Out: Total de bytes que o usurio pode receber (bytes que o
roteador transmite para o usurio).
Se um usurio tem o endereo IP especificado, somente poder haver 01 (um) logado. Caso
outro entre com o mesmo usurio/senha, o primeiro ser desconectado.
163
WALLED GARDEN (JARDIM MURADO)

Configurando um Walled Garden possvel oferecer ao usurio o acesso a determinados
servios sem necessidade de autenticao.
Exemplo: Em um aeroporto pode-se disponibilizar informaes climticas, horrios de vos,
etc, se a necessidade de o usurio adquirir crditos para acesso externo.
Quando um usurio no logado no Hotspot requisita um servio do Walled Garden, o gateway
no o intercepta e, no caso de http, redireciona a requisio para o destino ou para o Proxy.
Para implementar o Walled Garden para requisies http, existe um Web Proxy embarcado no
Mikrotik, de forma que todas as requisies de usurios no autorizados passem de fato por
esse Proxy.
Observar que o Proxy embarcado no tem as funes de fazer cache, pelo menos por ora.
Notar, tambm, que esse Proxy embarcado faz parte do pacote system e no requer o pacote
web-proxy.
importante salientar que o Walled Garden no se destina somente a servios WEB, mas
qualquer servio que queiramos configurar. Para tanto, existem 2 menus distintos que so
apresentados abaixo, sendo que o primeiro destina-se somente para HTTP e HTTPS e o da
segundo para os outros servios e protocolos.
Walled Garden para http e HTTPS
Action: allow ou deny permite ou nega

- Server: Hotspot ou Hotspots para o qual vale esse Walled Garden
- Src Address: endereo IP do usurio requisitante
- Dst Address: endereo IP do Web Server
- Method: mtodo de http
- Dst Host: nome de domnio do servidor de destino
- Dst Port: porta de destino que o cliente manda a solicitao
- Path: caminho da requisio
Observao:
- nos nomes de domnio, necessrio o nome completo, podendo ser usado coringas
- aceita-se expresses regulares devendo ser iniciadas com dois pontos (:)
164
Walled Garden para outros protocolos
Action: aceita, descarta ou rejeita o pacote

- Server: Hotspot ou Hotspots para o qual vale esse Walled Garden
- Src Address: endereo IP de origem do usurio requisitante
- Protocol: Protocolo a ser escolhido da lista
- Dst Port: Porta TCP ou UDP que est sendo requisitado
- Dst Host: Nome de domnio do WEB Server
165
PERSONALIZANDO O HOTSPOT
As pginas do Hotspot so totalmente configurveis e podem ser editadas em qualquer editor
HTML, sendo posteriormente atualizadas no Mikrotik.
Alm disso, possvel criar conjuntos totalmente diferentes das pginas do Hotspot para
vrios perfis de usurios especificando diferentes diretrios html raiz na opo html-directory
em Hotspot Profile.
Essa possibilidade, associada a criao de Aps virtuais possibilita que, em uma mesma rea
pblica o detentor de infra-estrutura possa, de forma transparente, servir a vrios operadores,
utilizando os mesmos equipamentos.
Principais pginas HTML que so mostradas aos usurios:

- redirect.html redireciona o usurio para outra URL (exemplo: a pgina de login)
- login.html - Pgina de login mostrada a um usurio solicitando nome e senha. Esta pgina
pode ter os seguintes parmetros:
- username nome do usurios
- password senha
- dst URL original requisitada antes de cair na tela de login. O usurio ser enviado a
esta URL aps um login bem-sucedido
- pop-up se deve ser aberta uma janela de pop-up aps o login
REDIRECIONANDO TRFEGO DE SMTP PARA SEU DEVIDO SERVIDOR
166
Voc pode redirecionar todo o trfego atravs de seu Router para o seu prprio Servidor de Email.
- Clique no Menu IP
167
Clique na guia NAT

Clique em Adicionar
Na guia General, na opo Chain, escolha a opo dstnat
Na opo Protocol, escolha TCP
Na opo Dst. Port., escolha a porta 25
168
Clique na
Na opo
Na opo
Na opo
Clique no
guia Action
Action, escolha a opo dst-nat
To Addresses, digite o IP do servidor de email
To Ports, digite a porta SMTP, 25.
boto OK
169
Referncias:
- Mikrotik Wiki - http://wiki.mikrotik.com/wiki/
- Apostila Curso Router-OS Mikrotik Wlan Brasil
- Certificado SSL - http://www.laniway.com.br
Cpia autorizada: Marcelo Carvalho - MACNet (AWS)
170

Guia Exclusivo de Referencia-Mikrotik PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Guia Exclusivo de Referencia-Mikrotik PDF

Enviado por

Direitos autorais:

Formatos disponíveis

ndice

COMO ACESSAR O ROUTEROS MIKROTIK ........................................................................3

COMO ACESSAR O ROUTEROS MIKROTIK

ACESSO VIA TERMINAL

Pode ser usado com diversos argumentos como:

- Monitor: Usado repetidamente mostra o status

ACESSO VIA WINBOX GUI

Significado dos cones:

Boto Freq. Usage

Name: Nome da Interface.

Radio Name: apelido usado para identificar a interface.

Band: Banda e modo de operao.

- post-2.9.25: Extenses aceitas a partir dessa verso e compatvel com todos os

Guia Data Rates

Observao: Esses valores so meramente referenciais e devem ser ajustados em

Mode: Permite a escolha da antena.

Preamble Mode: escolhe o modo do prembulo (comunicao inicial e de sincronizao).

A capacidade ou no de compresso de um dispositivo wireless pode ser vista em Interface

Mostra informaes sobre o status do AP

Menu Wireless Interfaces

Ao clicar em adicionar interfaces, so dadas as opes:

Name: Nome da rede virtual

- WDS: Cria uma interface WDS dando os parmetros:

- Tx Rdio: especifica-se as interfaces de Tx.

Menu Wireless Access List

MAC Address: MAC a ser liberado

Menu Wireless Security Profiles

WPA2 (802.11i) com EAP

- Passtrough: Repassa o pedido de autenticao para um Servidor Radius (esta opo

- Static Keys: Utilizado em caso de WEP

- D um clique duplo na interface habilitada

- Clique na guia Tx Power para escolher a potncia do carto, considerando:

- Clique no Menu Bridge

Clique na guia Ports

Clique na guia Ports, novamente

Atribuir um IP a interface Bridge

- Clique no boto Adicionar

192.168.0.1/24 (255 IPs)

- Em Interface, escolha a bridge criada anteriormente.

BRIDGE TRANSPARENTE ENTRE DOIS PONTOS UTILIZANDO WDS

No campo Name, digite o nome da interface bridge (exemplo: wds-bridge)

- Clique na guia Ports

- Clique novamente em adicionar

CONFIGURAO DO AP (STATION WDS)

- Localize a guia WDS e clique nela

Adicione o IP da interface Bridge

- No campo Name, digite o nome da interface bridge (exemplo: wds-bridge)

- Clique na guia Ports

Clique novamente em adicionar

CONFIGURAO DO CLIENTE (BRIDGE)

Na guia Wireless, configure os seguintes campos:

Radio name: Digite o nome do rdio

Obs: Para trabalhar com 900Mhz, deve-se usar somente os canais de 3 a 6.

- Localize a guia WDS e clique nela

Adicione o IP da interface Bridge

CONTROLE DE CLIENTES APENAS POR MAC

Clique no menu Wireless

- Basta repetir os ltimos passos at cadastrar todos os usurios.

- Clique na guia Interfaces

CONTROLE DE BANDA Simple Queue

As propriedades configurveis de uma fila simples so:

- dado ao cliente inicialmente a banda burst-limit=512kbps. O algoritmo calcula a taxa mdia

LIMITAO DE BANDA PARA P2P