Escolar Documentos
Profissional Documentos
Cultura Documentos
Home
Novidades
Notcias
Blogs
Fruns
Galeria
Calendrio
FAQ
Pesquisa Avanada
Blogs
m4d3
Share
Curtir
V isite tambm: BR-Linux V iv aO Linux LinuxS ecurity Dicas-L N oticiasLinux S oftw areLiv re.org
+ Criar Blog
m4d3
m4d3
16 Comentrios
Ir para Perfil
Marcar como Lido
MikroTik
Data de Ingresso:
Idade:
Posts:
Posts de Blog:
Aug 2007
36
1.089
9
Categorias de Blog
Categorias Globais
Artigos
Dedico este material aos amigos online que conquistei ao longo destes anos, em
especial minha esposa e nossos trs filhos Luciano Junior, Joo Paulo e Pedro,
principais motivadores desta publicao.
Noticias
Dicas
Reviews
Negcios
Tutoriais
Categorias Locais
No Categorizado
Comentrios Recentes
Recuperao de RB atravs do software mikrotik
netinstall
por EribertoTorres
MikroTik - De a-Z Para Todos os Nveis
por RickBrito
__________________________________________________________________
Visitantes Recentes
1/33
10/10/13
Configurao as Interfaces
Nuvem de Tags
Dito isso vamos definir o nome das interfaces, comeando com ether1 que vamos
re-nomear para EthLinkD que ser nossa entrada do link, este por sua vez pode ter
qualquer origem seja um link dedicado ou uma adsl, trataremos disso mais tarde.
Sem ordem o sucesso uma possibilidade remota, na seqncia vamos agora renomear a interface ether2 para EthClientes, que como o prprio nome diz ser a
interface por onde forneceremos o acesso aos clientes.
O objetivo deste documento no ser o mais detalhista possvel, mas oferecer uma
viso clara de como configurar de maneira ordenada e lgica qualquer equipamento,
a metodologia empregada na implantao depende muito da necessidade e pr
disposies existentes, porm questes como a nomenclatura a ser utilizada e a
seqncia s depende da forma de raciocnio de quem esta a configurar e do nvel
de compreenso pretendido para qualquer usurio que acessar o sistema.
Arquivo
<
Outubro 2013
22
23
24
25
26
27
28
29
30
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
Nome do Usurio
Senha
Conectar
Registre-se
Busca Under-Linux.Org
Cambium EPMP
1000
www.winncom.com
__________________________________________________________________
Configurao da Rota Default
https://under-linux.org/entry.php?b=2948
2/33
10/10/13
Se obtiver resultado diferente do exemplo (como uma rota na cor azul), pode ser
que o IP do gateway no tenha sido encontrado na rede ou que no tenha definido
corretamente o endereo IP na etapa anterior.
__________________________________________________________________
Configurao do DNS
Vamos agora para a configurao de DNS, eu particularmente confio no DNS
gratuito OpenDNS, porm devo alertar em em certos casos j tive problema por
conta disso, um exemplo quando um dos clientes sabendo que utiliza dos servios
do OpenDNS vai at o site deste servio e cadastra o/os IPs utilizados por seu
sistema e cria regras de bloqueio (muito teis inclusive principalmente para limitar
servios indesejados), fazendo isso qualquer resoluo de DNS que partir dos IPs
informados na regra de filtro passam a ter as limitaes impostas em tais filtros,
imagine um usurio mal intencionado bloqueando os servios de redes sociais, isso
iria gerar uma revolta entre os clientes e com certeza no desejamos algo desse
tipo.
Portanto se utilizar deste servio tenha certeza de que est imune a condio citada,
outro DNS que posso sugerir so do Google que apresentam na maioria dos casos
bom tempo de resposta e disponibilidade, no geral o que conta, voc pode utilizar
os de sua preferncia, no exemplo vamos utilizar um DNS do Google e outro do
servio gratuito OpenDNS.
https://under-linux.org/entry.php?b=2948
3/33
10/10/13
GoogleDNS: 8.8.8.8/8.8.4.4
OpenDNS: 208.67.222.222/208.67.220.220
Vale ressaltar que a opo Allow Remote Request permite utilizar o IP do seu
MikroTik para resoluo de DNS e cache deste servio, sendo desejvel eu
recomendo que marque esta opo, tendo o cuidado de bloquear requisies vindas
de fora do seu sistema para este servio (90% dos casos).
Alm disso devemos alterar o Cache Size para algo entre 4096 e 8192
possibilitando armazenar o maior nmero de endereos DNS no MikroTik local dessa
forma agilizando o processo de resoluo dos equipamentos cliente quando fizerem
uso do servidor DNS disponvel no MikroTik.
Tendo concludo com sucesso esta primeira etapa faremos um teste de ping para
aferir o funcionamento do sistema bsico, comeando com um teste direto a um
endereo IP. Para tal abra um terminal e digite:
ping 200.221.2.45
O resultado tem que ser como acima, se packet loss informar algo diferente de 0%
voc tem algum problema de conexo ou ento o IP que tentou pingar no esta
mais acessvel.
O prximo passo testar a resposta dos servidores DNS e para isso vamos executar
um ping informando o endereo de um site e no o seu IP.
ping uol.com.br
https://under-linux.org/entry.php?b=2948
4/33
10/10/13
Vamos agora definir um DNS prprio para uso nos clientes deste MikroTik em
questo, faremos isso acessando o DNS Static, utilizaremos um IP qualquer que no
exemplo ser 10.0.0.1.
O TTL o tempo de expirao que vai manter a consulta a este DNS em cache,
quando ser necessria nova consulta para resoluo do endereo, em certos casos
interessante manipular este tempo tendo em vista o grande nmero de solicitaes
que podem ser feitas a um mesmo endereo, no caso de haverem poucas mudanas
do IP de destino.
Devemos observar que quando houver a manipulao do TTL padro o resultado
https://under-linux.org/entry.php?b=2948
5/33
10/10/13
pode ser um destino que aponta para um endereo que no corresponde mais ao
endereo desejado at a renovao da consulta e portanto podendo causar falha no
acesso, o MikroTik no suporta manipulao da tabela DNS cache, e se pretende
utilizar este servio recomendo o BIND9 em servidor Linux que alm disso oferece
muitas outras possibilidades.
Observe que aps a insero do DNS Static imediatamente a tabela DNS Cache
foi incrementada e o TTL comea a contar at a prxima renovao.
__________________________________________________________________
Configurao do Concentrador PPPOE
Vamos agora configurar o servio PPPOE, chamaremos o servio de PC.PPPoE e
selecionando a interface pela qual os clientes faro acesso a este servio vamos
definir os valores padres deste servidor.
No faremos nenhuma alterao nos valores de MTU / MRRU / Timeout / Max
Sessions e na maioria dos casos isso mesmo que recomendo, s altere se houver
uma necessidade que de outra forma no pode ser solucionada.
Marque One Session Per Host se desejar que apenas um usurio conecte para cada
cadastro de usurio/senha.
Com relao ao tipo de autenticao suportada pelo servio at agora entre os
sistemas comerciais que utilizam o FreeRadius s encontrei autenticao PAP, porm
isso pode mudar, se o seu sistema suporta mais de um tipo marque as respectivas
opes suportadas, caso contrario basta manter apenas PAP e desmarcar as demais,
isso inclusive evita comportamento errneo de alguns sistemas comerciais em uso
hoje em dia.
Recomendo que busque informaes adicionais sobre cada mtodo, isso no vai
mudar a sua vida, mas o hbito de pesquisar as opes o tornar apto a responder
as mais diversas perguntas quando questionado.
https://under-linux.org/entry.php?b=2948
6/33
10/10/13
https://under-linux.org/entry.php?b=2948
7/33
10/10/13
Utilizaremos o prprio MikroTik como servidor DNS primrio, isso nos trar a
vantagem do DNS Cache, como DNS secundrio vamos utilizar um DNS qualquer
informado pela operadora que pode ser obtido junto ao servio de atendimento ao
cliente ou com uma breve busca na internet. Para este caso vamos configurar o
secundrio com o SuperDNS servidor 1 cujo endereo dns1.superdns.com.br e seu
ip corresponde a 72.233.55.28, entenda que apenas um exemplo e no
recomendo este como seu DNS secundrio.
Ainda no profile em questo, na aba General as opes Use Compression/Use VJ
Compression/Use Encryption devem ficar na posio no e Change TCP MSS em
yes, esta segunda pode lhe economizar alguma dor de cabea com MSN e coisas do
gnero e voc pode optar por no utilizar as configuraes indicadas aqui e ainda
assim no ter problema algum desde que saiba o que esta fazendo, no tenha medo
de experimentar pois tambm dessa forma que se adquire conhecimento.
https://under-linux.org/entry.php?b=2948
8/33
10/10/13
https://under-linux.org/entry.php?b=2948
9/33
10/10/13
O campo Caller ID: pode ser preenchido com o MAC Address do equipamento
cliente e tem a funo de amarrar o login/name ao MAC, podemos ainda preencher
o campo Remote Address caso desejemos que este login/name conecte sempre
com o mesmo endereo IP.
O campo Local Address fornecido automaticamente pelo profile selecionado
sendo este o gateway da conexo PPPoE, podendo ser informado manualmente caso
haja necessidade.
Curiosidades: em verses antigas (2.x) do MikroTik havia um bug de o cliente
conectar e no navegar, a navegao somente era possvel quando o mesmo recebia
outro IP, esta situao era facilmente evitada preenchendo o endereo do Local
Address nos cadastros.
__________________________________________________________________
Configurao do servidor NTP
Importante: configurar as informaes de data, hora e localizao, alguns podem
achar que algo desnecessrio, eu afirmo que tem muita importncia ento vamos
a isso. Primeiro configuramos o Manual Time Zone, no meu caso estou em
Comodoro que fica no interior do estado de Mato Grosso, sendo assim o Time
Zone -04:00, em seguida acerte os valores da aba Time.
10/33
10/10/13
__________________________________________________________________
Criando o MASCARAMENTO dos IPs privados
Neste momento dado a natureza dos IPs que utilizamos na pool_acesso vamos
criar o mascaramento local para que seja possvel o trafego de dados entre os
clientes e a internet.
Acesse IP/Firewall/NAT e insira uma nova regra com as seguintes caractersticas:
Na aba General
Chain: srcnat
Src. Address: 10.0.0.0/24 (classe destinada aos clientes)
Out . Interface: EthLinkD
Na aba Action
Action: masquerade
Voc pode ter feito esse procedimento dezenas de vezes e de vrias maneiras
diferentes sem se perguntar por que, neste caso quando fazemos o mascaramento
estamos dizendo para o MikroTik que todas as requisies vindas dos clientes
(pool_acesso, IPs 10.0.0.0/24) com sada pela interface EthLinkD sero
mascaradas pelo NAT, em linhas gerais isso garante que o firewall seja afetado
positivamente para os acessos da sua rede interna, o que isso significa? Que quando
voc for fazer utilizao de um servidor externo de quaisquer servios conectados a
outra interface que no seja EthLinkD (pode ser EthIntranet ou outra qualquer),
estes servios iro registrar o IP individual de quem estiver buscando pelo servio e
no o IP do servidor o qual seria enviado caso no estivssemos definindo uma
interface especifica para a sada padro (leia-se rota default).
https://under-linux.org/entry.php?b=2948
11/33
10/10/13
http://en.wikipedia.org/wiki/Ethernet_crossover_cable
Aps conexo observamos em Active Connections a presena da conexo discada
e o respectivo endereo MAC na coluna Caller ID.
Na aba Interface possvel ver a interface criada pelo pppoe com trafego de tx/rx
(download/upload pois o sentido servidor>cliente)
https://under-linux.org/entry.php?b=2948
12/33
10/10/13
A cor vermelha indica que o trafego excede 75% do valor configurado em Max
Limit, outras cores so laranja para 50% e verde para 25%.
__________________________________________________________________
Integrao ao sistema de cache NIMOC Power
Comecemos por configurar a interface que far a comunicao com o cache, neste
caso especifico recomendo a instalao de uma interface com o nico propsito de
se comunicar com o servidor de cache.
Vamos agora re-nomear a interface ether3 para EthCache, que como o prprio
nome diz ser a interface exclusiva que ser conectada ao NIMOC Power.
Vamos agora configurar a conexo entre o MikroTik e o servidor de cache, no
MikroTik acesse o menu IP / Address e configure o seguinte IP 192.168.10.253/30
na interface EthCache, este ser o gateway e dns secundrio do servidor de cache.
Feito isso configure o seu servidor de cache N!MOC com as seguintes informaes.
IP Address: 192.168.10.254
Mascara: 255.255.255.252
Gateway: 192.168.10.253
Dns primrio: 127.0.0.1
Dns secundrio: 192.168.10.253
Para tanto vamos utilizar o aplicativo niconfig que se encontra presente no sistema
instalado a partir do N!MOC INSTALLER CD:
Tento logado como root digite no console do N!MOC Linux:
niconfig <ENTER>
Caso sua placa de rede seja identificada diferente de eth0, no h problema apenas
lembre em qual interface voc configurou o IP para futuras configuraes ou
consultas se necessrias.
https://under-linux.org/entry.php?b=2948
13/33
10/10/13
https://under-linux.org/entry.php?b=2948
14/33
10/10/13
15/33
10/10/13
Agora vamos criar as marcaes para o desvio do trafego via tabela mangle para
redirecionar as requisies da porta 80 at o cache N!MOC seguindo o exemplo a
seguir .
Acesse IP / Firewall / Mangle e insira uma nova regra, na abra General selecione a
Chain prerouting, Protocol tcp e Dst. Port 80 ainda em In. Interface selecione
a EthCache e marque a flag ! que significa negao, ou seja todas as interfaces
menos esta, na aba Extras em Src. Address List informe o nome da lista que ir
conter a lista que ir conter os IPs dos clientes e servidores internos que no
devero passar pelo cache. Em seguida informe em Dst. Address List a lista de IPs
que ir conter os endereos de sites da internet os quais no deseja que passem
pelo cache, e no esquea de marcar a flag de negao ! para ambas as listas.
Vamos agora para a aba Action e na opo de mesmo nome selecionamos mark
routing e em New Routing Mark nossa marcao de rota personalizada
chamaremos de to_nimoc, com relao a flag Passthrough podemos deixar
marcada se desejamos que o trafego continue a ser analisado pelas regras seguintes
da tabela ou desmarcarmos se no quisermos, relativo e depende muito do que se
vai fazer nas regras seguintes, no exemplo deixaremos marcada pois nosso exemplo
ser limitado e no teremos regras conflitantes que poderiam sobre gravar nossa
marcao.
https://under-linux.org/entry.php?b=2948
16/33
10/10/13
Esta regra como foi concebida far a marcao de rota sobre os IPs 10.0.0.0/24
utilizados pelo plano/profile PC.Conecta do PPPoE Server com a identificao de
to_nimoc.
IMPORTANTE: Quando os IPs a receber a marcao forem privados e
mascarados, no h necessidade de tratar o retorno e a regra acima far toda a
marcao necessria bastando adicionar uma rota na tabela de rotas, porm quando
se tratar de uma classe de IPs pblicos ou mesmo uma classe cujo mascaramento
estiver atrs do equipamento onde estamos fazendo esta marcao fazendo com que
utilizemos o TPROXY, existe a necessidade de tratarmos o retorno conforme a regra
que segue.
Acesse IP / Firewall / Mangle e insira uma nova regra, na abra General selecione a
Chain prerouting, Protocol tcp e Src. Port 80 ainda em In. Interface selecione
EthLinkD, na aba Extras em Src. Address List informe o nome da lista que ir
conter os IPs dos clientes e servidores internos que no devero passar pelo cache.
Em seguida informe em Dst. Address List a lista de IPs que ir conter os endereos
de sites da internet os quais no deseja que passem pelo cache, note que aqui
invertemos a posio das listas e isso proposital j que estamos tratando o trafego
de retorno, e por ltimo na aba Action no recurso de mesmo nome selecione
mark routing e em New Routing Mark informamos o nome da rota que ser
to_nimoc mantendo a flag Passthrough marcada.
https://under-linux.org/entry.php?b=2948
17/33
10/10/13
A tabela acima contm apenas a marcao de rotas necessria para uso com
TPROXY ativado, em caso de TPROXY desativado e classes de IPs privados como
no exemplo 10.0.0.0/24 s necessria a primeira regra onde utilizamos Src.
Address e a segunda deve ser eliminada. Vale ainda lembrar que devemos ter uma
regra ou conjunto de regras para cada classe de IPs que desejamos marcar as rotas
para envio ao cache.
__________________________________________________________________
N!MOC Power Regras teis
Adiciona IP a interface do MikroTik que far comunicao com N!MOC Power.
Cdigo :
/ip address
add address=192.168.10.253/24 comment=PC.NiMOC disabled=no interface=EthCache
18/33
10/10/13
Cdigo :
/ip route
add comment=PC.NIMOC disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.10.254 routing-mark=to_nimoc scope=30 target-scope=10
Lista de IP dos sites que no devero passar pelo cache N!MOC Power.
Cdigo :
/ip firewall address-list
add address=1.2.3.4 comment="PC.NIMOC - IP DE SITE SEM CACHE" disabled=no list=sem_cache_dst
Lista de IP dos clientes que no devero passar pelo cache N!MOC Power.
Cdigo :
/ip firewall address-list
add address=1.2.3.4 comment="PC.NIMOC - IP DE CLIENTE SEM CACHE" disabled=no list=sem_cache_src
__________________________________________________________________
Cache Full
Chegamos a um ponto importante, tanto se ouve falar em Cache Full que a definio
propriamente dita se torna confusa, seria um cache cheio ?
Cache Full na definio dos usurios que o utilizam significa enviar o contedo web
normalmente do tipo multimdia e armazenado em proxy cache local para os
usurios/clientes da rede furando o controle de banda convencional da Queue
Simple utilizando para isso a marcao de pacotes e a Queue Three que
comumente utilizada para controle em sistemas de QoS.
O mais comum encontrado em dezenas de paginas web baseado na marcao de
pacotes contendo o parmetro o que pode ser feito pela tabela Mangle na Chain
postrouting, em seguida na aba Advanced em Content digitando X-Cache: HIT
seguindo para a aba Action em campo de mesmo nome selecione mark packet e
em New Packet Mark digite cachefull. Sequer darei um exemplo utilizando a
Queue Three por considerar que este mtodo possui uma srie de problemas
graves.
No entanto existem outros mtodos possveis que podem ser aplicados, um dos
quais relaciono abaixo tpicos que considero mais importantes.
1 Marcar os pacotes pelo DSCP/TOS e no pela Content, isso porque este
segundo mtodo alm de inseguro ineficaz e exige maior processamento.
2 Informar por onde o trafego adentra ao MikroTik e/ou para onde segue, isso
ajuda a diminuir a carga e evita que a marcao seja utilizada para enviar algum
https://under-linux.org/entry.php?b=2948
19/33
10/10/13
Dica: para saber como funciona a relao entre valores basta saber que 0 = 0, 1 =
4, 2 = 8, 3 = 12 e finalmente 18 = 72, portanto multiplique a marcao informada
no MikroTik por 4 e vai obter o valor a ser configurado no parmetro DSCP/TOS
quando suportado pelo cache. N!MOC Power tem suporte a DSCP/TOS.
1.2 Adicione uma nova regra e na abra General a Chain prerouting, e logo
abaixo no campo Connection Mark selecione a marcao chamada conn_nimoc,
v at a aba Action no campo de mesmo nome selecione mark packet e logo
abaixo em New Packet Mark vamos colocar a identificao dos pacotes como
pack_nimoc, tendo o cuidado de desmarcar Passthrough pois no queremos que
o mesmo pacote esteja sujeito a receber outra marca depois dessa o que faria com
que a marca anterior fosse sobrescrita inutilizando nossa primeira marcao.
https://under-linux.org/entry.php?b=2948
20/33
10/10/13
https://under-linux.org/entry.php?b=2948
21/33
10/10/13
https://under-linux.org/entry.php?b=2948
22/33
10/10/13
O ltimo passo fazer com que este controle seja sempre o primeiro na lista
Queue Simple e para isso basta arrastar para a primeira posio da lista, caso
utilize HOTSPOT ir precisar de um script para que cada vez que algum logue no
sistema ele redefina a ordem da lista jogando este controle pra primeira posio,
como no o caso do nosso exemplo vou tomar a liberdade e pular esta etapa.
Com a soluo proposta espero liquidar de vez o chamado CacheFull que s traz
dores de cabea e deteriora completamente as conexes wireless, no que o que
propomos aqui se implementado erroneamente tambm no o faa mas o risco
menor se voc compreender o que esta fazendo do que configurar as cegas.
O resultado dessa implementao que o cliente ainda ter os 128k de download
quando o trfego for oriundo da internet porm ele ter mais 256k quando o
contedo j estiver em cache totalizando uma banda de navegao de 384k fazendo
o cliente muito mais satisfeito e o provedor muito mais econmico e competitivo
com a banda disponvel, como resultado temos uma melhora significativa em
servios com consumo de streaming, o cliente ainda consegue navegar pelos sites
mais visitados e falar ao skype ou utilizar tecnologias similares gastando o mnimo
de banda do seu link.
__________________________________________________________________
Repasse de IP Pblico com exemplo para PPPoE
Exemplo 1:
O Provedor recebe o link dedicado e uma classe /29, utiliza o primeiro IP dessa
classe como gateway e o segundo como IP do seu servidor MikroTik .
1.1 - Neste caso, configure a interface do Link como proxy-arp e a interface dos
clientes como reply-only depois adicione a seguinte regra no MikroTik em NEW
TERMINAL e cole:
Cdigo :
/ ip firewall nat
add chain=dstnat action=passthrough src-address=XX.XX.XX.XX/XX comment="REPASSE DE IP" disabled=no
https://under-linux.org/entry.php?b=2948
23/33
10/10/13
24/33
10/10/13
Esta regra aceita as conexes para todos os IPs de destino que se encontrarem na
lista 'sem_balance' que iro sair pela rota padro, veja o texto mais adiante.
Tabela MANGLE Marcao de conexes
Cdigo :
Cria as marcas (conn_na, conn_nb, conn_nc) para novas conexes em cada uma
das interfaces (EthLinkA, EthLinkB, EthLinkC)
Tabela MANGLE Marcao de rotas
Cdigo :
https://under-linux.org/entry.php?b=2948
25/33
10/10/13
Vale ressaltar que o mascaramento pode ser feito de vrias formas, indicando por
exemplo o IP da interface de sada utilizando a action src-nat (no caso de termos
mais de um IP de sada na mesma interface). Pela interface de cada link como
acima, ou ainda apenas mascarando a interface de sada do balance EthLB em
https://under-linux.org/entry.php?b=2948
26/33
10/10/13
A regra acima serve para o acesso do servidor pelo winbox a partir da internet por
qualquer dos links conectados ao balance e deve estar na tabela NAT antes da regra
de DMZ.
Seguimos para a prxima etapa onde iremos definir as rotas padro e backup para
cada marcao criada at agora.
Tabela ROUTE Indicao de rotas e redundncia
Definimos 3 rotas sendo que cada uma tem um custo diferente e portanto a primeira
ter a preferncia (distance=1), caso venha a faltar a segunda assume(distance=2),
em seguida a terceira(distance=3).
Cdigo :
/ip route
add comment="" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.1.10.129
add comment="" disabled=no distance=2 dst-address=0.0.0.0/0 gateway=10.1.10.161
add comment="" disabled=no distance=3 dst-address=0.0.0.0/0 gateway=10.1.10.193
Sendo a rota de custo menor (ex: distance=1) a rota padro (default) para todas as
conexes que no receberem marca de rotas, nesta lista incluem-se os servios e
destinos da lista sem_balance comentada no inicio, portanto interessante que este
link tenha boa capacidade pois alm das conexes oriundas das marcaes ir
receber o trafego sem marcao.
Em seguida todas as 3 rotas que utilizam marca de rotas to_ra, to_rb e to_rc
dividem a carga que foi previamente marcada na tabela mangle.
Enviando to_ra para o gateway 10.1.10.129, to_rb para o gateway 10.1.10.161 e
to_rc para o gateway 10.1.10.193 todas com distance=1 ou seja, como primeira
opo de todas as marcaes.
Cdigo :
https://under-linux.org/entry.php?b=2948
27/33
10/10/13
Podemos ainda definir links de backup para cada marcao e no caso se um dos
links cair, o link de backup assume a tarefa de transmitir os pacotes como fizemos
para a rota padro, agora tambm para as marcaes de rota.
Cdigo :
/ip route
add comment="" disabled=no distance=2 dst-address=0.0.0.0/0 gateway=10.1.10.161 routing-mark=to_ra
add comment="" disabled=no distance=2 dst-address=0.0.0.0/0 gateway=10.1.10.193 routing-mark=to_rc
add comment="" disabled=no distance=2 dst-address=0.0.0.0/0 gateway=10.1.10.129 routing-mark=to_rb
E no esquea de colocar estas regras antes do seu mascaramento geral para que
https://under-linux.org/entry.php?b=2948
28/33
10/10/13
tenha o resultado esperado, este um exemplo de NAT 1:1, voc tambm pode
utilizar o netmap para a funo e fazer o repasse para uma range de IPs sem
necessidade de criar uma regra para cada IP.
__________________________________________________________________
Utilizao de Burst no MikroTik
Acredito que a dvida seja compartilhada com muitos, vou tentar explicar apartir de
exemplo simples o funcionamento do burst.
ML - Max Limit 120k = Mxima taxa de transferncia aps atingido o limite que ser
calculado com base no tempo de 8s podendo atingir a velocidade mxima de 'Burst
Limit = 300k'
BL - Burst Limit 300k = Limite mximo de velocidade usando o recurso de Burst ou
em portugus 'Rajada' ou ainda Estouro.
BT - Burst Threshold 96k = Valor que poder ser consumido para ter direito a novo
BL de 300k
TB - Burst Time 8s = Tempo sobre o qual so calculados os limites de velocidade
Na prtica: o burst calculado utilizando ciclos com base no TB/16 (dividido por
16), no exemplo acima teremos o ciclo de calculo executado a cada 0.5s ou seja,
duas vezes por segundo, o que significa dizer que a cada meio segundo sero
analisados os ltimos 8s (TB) do trfego.
De uma forma geral para ter direito ao burst o resultado calculado de BT deve ser
inferior ao valor informado para BT, seguindo frmula: (BTT/TB) < BT, onde BTT
a mdia do consumo nos ltimos X segundos definidos em TB.
Exemplo:
1s 2s 3s 4s 5s 6s 7s 8s
300k + 100k + 200k + 50k + 30k + 200k + 250k + 150k = 1280k
1280k/8s = 160k/s
Sendo a frmula para a liberao de novo burst BTT / TB < BT e o valor
definido de BT atual definido de 96k, o calculo deste ciclo nos mostra o BT em
160k/s, ou seja, maior que 96k, o burst no ser liberado e o valor limite continua
sendo de ML.
Ainda que o consumo nos prximos 6 segundos se mantenham em 120k:
250k + 150k + 120k + 120k + 120k + 120k +120k + 120k = 1120k
1120k/8s = 140k/s
O resultado continua acima do valor definido para BT que de 96k, no tendo
direito a novo burst at que o resultado do ciclo seja inferior a BT.
Suponhamos que nos prximos 2 segundos o consumo caia:
120k + 120k 120k + 120k + 120k + 120k + 12k + 12k = 744k
744k/8s = 93k
Neste instante o valor calculado inferior ao definido em BT, sendo assim j estar
liberado novamente o valor de BL para a prxima solicitao.
Se voc chegou at aqui parabns, j consegui o que buscava ao escrever este
material.
__________________________________________________________________
29/33
10/10/13
30/33
10/10/13
Miniaturas de Anexos
Comentrios
alexandrecorrea - 21-09-2012 00:39
31/33
10/10/13
Uma duvida que tenho j faz tempo, o uso do burst numa rede
pequena exemplo 100 usurios 70 simultneos almenta muito o uso
da RB? E parabns.
alexandrecorrea - 21-09-2012 10:22
rsss, pode ser at 'man in the side' basta configurar o radius que vai
explorar a rede com password show, j era... me referi aos sistemas
comerciais disponveis no mercado alexandre, os famosos softwares
para ISP, j solicitei no minimo pra meia dzia pra mudar do pap mas
parece que os clientes destes softwares desconhecem ou ignoram
totalmente este tipo de problema... fazer oque n..
r0n3n1x - 01-10-2012 16:57
Parabens por disponibilizar este balance, foi de grande ajuda pra mim.
Valeu mais uma vez pela fora.
Evilazio - 27-10-2012 23:57
Buenas:
Soy nuevo en el foro y en REDES WIFI. Quera comentarle que tengo
un pequeo ISP y estado unas semanas muy duras, despus de caerse
mi torre alguien me ha estado molestando, buscando informacin me
muestra que es un problema en la capa 2 -se conectan como root-;
tengo mis AP en modo RSTP Bridge y me estn atacando, los clientes
se desconectan y la red anda lenta. Buscando informacin tambin e
visto que dice que dejarla en bridge es insegura. Por eso, por este
medio quera expresarle mi inquietud y si algn bondadoso
samaritano quiere ayudarme le agradecera. E ledo por ah que
enrutar la red -o rutear- soluciona algo, as como ponerle mayor
seguridad a la AP Y Clientes ( estaba viendo algo EAP-Certificada). As
como filtrar los puertos del Bridge, estube haciendo pruebas pero
hasta ahora nada me a salido como quera, si pudieran darme una
ayuda con este problema le estar agradecido de por vida.
https://under-linux.org/entry.php?b=2948
32/33
10/10/13
Under-Linux.Org
Curtir
7.228 pessoas curtiram Under-Linux.Org.
https://under-linux.org/entry.php?b=2948
33/33