MikroTikd de A Az para Todos Os Niveis PDF

10/10/13
MikroTik - De a-Z Para Todos os Nveis
Home
Novidades
Notcias
Blogs
Fruns
Galeria
Calendrio
FAQ
Pesquisa Avanada
Recent Entries Most Popular Member Blogs

Tw eetar
Blogs
m4d3
Share
Curtir
V isite tambm: BR-Linux V iv aO Linux LinuxS ecurity Dicas-L N oticiasLinux S oftw areLiv re.org
+ Criar Blog
m4d3
m4d3

por m4d3 em 20-09-2012 s 09:57 (14158 Visualizaes)
16 Comentrios
Ir para Perfil
Marcar como Lido
MikroTik
Data de Ingresso:
Idade:
Posts:
Posts de Blog:
Aug 2007
36
1.089
9
DE a-Z PARA TODOS OS NVEIS

Escrito por: Luciano Rampanelli / M4D3
Categorias de Blog
Categorias Globais
Artigos
Dedico este material aos amigos online que conquistei ao longo destes anos, em
especial minha esposa e nossos trs filhos Luciano Junior, Joo Paulo e Pedro,
principais motivadores desta publicao.
Noticias
Dicas
Reviews
Negcios
Tutoriais
Categorias Locais
No Categorizado
Como bons administradores da multiforme graa de Deus, cada um coloque

disposio dos outros o dom que recebeu (Pedro I, v 4 a 10)
Comentrios Recentes
Recuperao de RB atravs do software mikrotik
netinstall
por EribertoTorres
por RickBrito
As prticas relatadas aqui esto em uso desde 2007 em diversos provedores

comerciais, passo a dividir com todos na busca de dias melhores na "internet
brasileira". As tcnicas abordadas so baseadas na experimentao e simulao de
acordo com as normas e leis que regem o acesso a internet. As informaes aqui
contidas so parte de algo maior e no foram copiadas ou tomadas em assalto, mas
so fruto do esforo individual deste que vos escreve. Fao este documento de uso
livre para aqueles que assim necessitarem para uso pessoal e didtico. Exceto para
fins comerciais, impresso ou divulgao sem expressa autorizao do autor.
Otimizando banda disponvel com MikroTik e tcnica

de Burst/Threshold por: M4D3
por Conterato
Faa voc mesmo seu painel solar economizando
at 70 por cento
por rubem
Repasse de IP Pblico com exemplo para PPPoE
por: M4D3
por F3RR3LL
Posts Recentes nos Blogs
__________________________________________________________________
Recuperao de RB atravs do software mikrotik

netinstall
18-03-2013 14:51
Configurando o MikroTik do Zero
Faa voc mesmo seu painel solar economizando

at 70 por cento
21-11-2012 04:36
Vamos comear configurando um servidor bsico com servio de autenticao,

escolhi o pppoe pela facilidade e compatibilidade com a maioria dos sistemas
comerciais adotados no mercado alm claro do meu gosto pessoal.
Comecemos escolhendo a verso do MikroTik a utilizar, eu confio e utilizo a bastante
tempo a verso 3.30, 4.17, 5.11, procuro manter uma verso estvel at ter
confiana suficiente de que todos os recursos que necessito estejam funcionando de
acordo em uma verso mais atual, que alm disso deve ter novos recursos para
merecer um upgrade.
https://under-linux.org/entry.php?b=2948

20-09-2012 09:57
Fazendo as coisas direito, comeando com a
RFC1918 por: M4D3
08-10-2011 19:17
DMZ no MikroTik para load balance PCC por: M4D3
23-09-2011 06:25
Visitantes Recentes
1/33
10/10/13

Adriano Leite Mmn, celsonazireu, ericlmarx,
__________________________________________________________________ eudesamarelo, gmgustavocruz, jailtonnetlink,

labrbomfim, Marco0, marcoantoni, nanduu
Configurao as Interfaces
Nuvem de Tags
Dito isso vamos definir o nome das interfaces, comeando com ether1 que vamos
re-nomear para EthLinkD que ser nossa entrada do link, este por sua vez pode ter
qualquer origem seja um link dedicado ou uma adsl, trataremos disso mais tarde.
Sem ordem o sucesso uma possibilidade remota, na seqncia vamos agora renomear a interface ether2 para EthClientes, que como o prprio nome diz ser a
interface por onde forneceremos o acesso aos clientes.
O objetivo deste documento no ser o mais detalhista possvel, mas oferecer uma
viso clara de como configurar de maneira ordenada e lgica qualquer equipamento,
a metodologia empregada na implantao depende muito da necessidade e pr
disposies existentes, porm questes como a nomenclatura a ser utilizada e a
seqncia s depende da forma de raciocnio de quem esta a configurar e do nvel
de compreenso pretendido para qualquer usurio que acessar o sistema.
painel netinstall potencia recuperar calculo

solar energia mikrokti
Pesquisar por Tag
Arquivo
<
Outubro 2013
22
23
24
25
26
27
28
29
30
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
Em seguida faremos as definies de IP que so necessrias ao sistema, note que

ate agora estamos fazendo o acesso via MAC o que extremamente lento.
Supondo que temos um IP roteado disponvel para nosso link, seja ele pblico ou
privado, vou identificar uma classe que servir de exemplo durante nossas
explanaes.
Classe de IP: 172.16.50.128/29 Esta ser a classe que recebemos do roteador
(dedicado ou adsl no importa), no caso o IP que identifica no gateway ser o
primeiro IP 72.16.50.129 e para a configurao do nosso sistema iremos utilizar o
IP 172.16.50.130/29.
Nome do Usurio
Senha
Conectar
Registre-se
Busca Under-Linux.Org
Cambium EPMP
1000
www.winncom.com
__________________________________________________________________
Configurao da Rota Default
Winncom - Best Price &

Availability In Stock - Get
Yours Now!
Em seguida devemos informar o default gateway 172.16.50.129 na tabela de rotas.
2/33
10/10/13
Resultando conforme abaixo em nossa tabela de rotas.
Se obtiver resultado diferente do exemplo (como uma rota na cor azul), pode ser
que o IP do gateway no tenha sido encontrado na rede ou que no tenha definido
corretamente o endereo IP na etapa anterior.
__________________________________________________________________
Configurao do DNS
Vamos agora para a configurao de DNS, eu particularmente confio no DNS
gratuito OpenDNS, porm devo alertar em em certos casos j tive problema por
conta disso, um exemplo quando um dos clientes sabendo que utiliza dos servios
do OpenDNS vai at o site deste servio e cadastra o/os IPs utilizados por seu
sistema e cria regras de bloqueio (muito teis inclusive principalmente para limitar
servios indesejados), fazendo isso qualquer resoluo de DNS que partir dos IPs
informados na regra de filtro passam a ter as limitaes impostas em tais filtros,
imagine um usurio mal intencionado bloqueando os servios de redes sociais, isso
iria gerar uma revolta entre os clientes e com certeza no desejamos algo desse
tipo.
Portanto se utilizar deste servio tenha certeza de que est imune a condio citada,
outro DNS que posso sugerir so do Google que apresentam na maioria dos casos
bom tempo de resposta e disponibilidade, no geral o que conta, voc pode utilizar
os de sua preferncia, no exemplo vamos utilizar um DNS do Google e outro do
servio gratuito OpenDNS.
3/33
10/10/13
GoogleDNS: 8.8.8.8/8.8.4.4
OpenDNS: 208.67.222.222/208.67.220.220
Vale ressaltar que a opo Allow Remote Request permite utilizar o IP do seu
MikroTik para resoluo de DNS e cache deste servio, sendo desejvel eu
recomendo que marque esta opo, tendo o cuidado de bloquear requisies vindas
de fora do seu sistema para este servio (90% dos casos).
Alm disso devemos alterar o Cache Size para algo entre 4096 e 8192
possibilitando armazenar o maior nmero de endereos DNS no MikroTik local dessa
forma agilizando o processo de resoluo dos equipamentos cliente quando fizerem
uso do servidor DNS disponvel no MikroTik.
Tendo concludo com sucesso esta primeira etapa faremos um teste de ping para
aferir o funcionamento do sistema bsico, comeando com um teste direto a um
endereo IP. Para tal abra um terminal e digite:
ping 200.221.2.45
O resultado tem que ser como acima, se packet loss informar algo diferente de 0%
voc tem algum problema de conexo ou ento o IP que tentou pingar no esta
mais acessvel.
O prximo passo testar a resposta dos servidores DNS e para isso vamos executar
um ping informando o endereo de um site e no o seu IP.
ping uol.com.br
4/33
10/10/13
O resultado deve ser o mesmo anterior.

Desta vez quando efetuamos uma consulta ao DNS cache do MikroTik encontramos
as resolues j consultadas e com TTL no expirado.
Vamos agora definir um DNS prprio para uso nos clientes deste MikroTik em
questo, faremos isso acessando o DNS Static, utilizaremos um IP qualquer que no
exemplo ser 10.0.0.1.
O TTL o tempo de expirao que vai manter a consulta a este DNS em cache,
quando ser necessria nova consulta para resoluo do endereo, em certos casos
interessante manipular este tempo tendo em vista o grande nmero de solicitaes
que podem ser feitas a um mesmo endereo, no caso de haverem poucas mudanas
do IP de destino.
Devemos observar que quando houver a manipulao do TTL padro o resultado
5/33
10/10/13
pode ser um destino que aponta para um endereo que no corresponde mais ao
endereo desejado at a renovao da consulta e portanto podendo causar falha no
acesso, o MikroTik no suporta manipulao da tabela DNS cache, e se pretende
utilizar este servio recomendo o BIND9 em servidor Linux que alm disso oferece
muitas outras possibilidades.
Observe que aps a insero do DNS Static imediatamente a tabela DNS Cache
foi incrementada e o TTL comea a contar at a prxima renovao.
__________________________________________________________________
Configurao do Concentrador PPPOE
Vamos agora configurar o servio PPPOE, chamaremos o servio de PC.PPPoE e
selecionando a interface pela qual os clientes faro acesso a este servio vamos
definir os valores padres deste servidor.
No faremos nenhuma alterao nos valores de MTU / MRRU / Timeout / Max
Sessions e na maioria dos casos isso mesmo que recomendo, s altere se houver
uma necessidade que de outra forma no pode ser solucionada.
Marque One Session Per Host se desejar que apenas um usurio conecte para cada
cadastro de usurio/senha.
Com relao ao tipo de autenticao suportada pelo servio at agora entre os
sistemas comerciais que utilizam o FreeRadius s encontrei autenticao PAP, porm
isso pode mudar, se o seu sistema suporta mais de um tipo marque as respectivas
opes suportadas, caso contrario basta manter apenas PAP e desmarcar as demais,
isso inclusive evita comportamento errneo de alguns sistemas comerciais em uso
hoje em dia.
Recomendo que busque informaes adicionais sobre cada mtodo, isso no vai
mudar a sua vida, mas o hbito de pesquisar as opes o tornar apto a responder
as mais diversas perguntas quando questionado.
6/33
10/10/13
Obs: se o seu sistema suporta outros mtodos eu gostaria de conhec-lo.

Vamos agora para a configurao do Profile que nada mais do que as
configuraes do plano de acesso ao qual o cliente ir pertencer.
No primeiro plano vamos selecionar algo simples para assimilao rpida, vamos
chamar de PC.Conecta fazendo referencia a um plano de entrada onde o principal
objetivo que acesso a internet. Sendo este um plano bsico no tem como foco a
velocidade de acesso, a principal caracterstica deste plano ser sua velocidade de
acesso limitada em 128kbps para download e 64kbps para upload, o que em teoria
deve garantir downloads de at 16kb/s e upload de at 8kb/s.
- criando a pool de endereos ip
Em Local Address informaremos o IP que o cliente receber como gateway e em

Remote Address indicamos a Pool de IPs a qual o profile pertence, ou seja os
IPs que os clientes iro receber aps a conexo ter sido estabelecida com o
servidor. Para este primeiro plano vamos criar a Pool de nome pool_conecta a
qual inicia no IP 10.0.0.11 e termina em 10.0.0.249, voc deve estar se
perguntando porqu no comear no antes e ir at o final dos IPs, eu fao uma
reserva em cada pool quando possvel para casos especiais em que eu preciso fixar
o IP que um determinado equipamento ir receber.
Como resultado teremos a tabela IP Pool conforme abaixo:
- criando o plano de acesso

Na criao do profile PC.Conecta, selecionamos a pool_conecta para o Remote
Address e mantemos os campos Bridge / Incomming Filter / Outgoing Filter /
Address List / WINS Server inalterados, bastando para tanto configurar apenas o
campo DNS Server.
7/33
10/10/13
Utilizaremos o prprio MikroTik como servidor DNS primrio, isso nos trar a
vantagem do DNS Cache, como DNS secundrio vamos utilizar um DNS qualquer
informado pela operadora que pode ser obtido junto ao servio de atendimento ao
cliente ou com uma breve busca na internet. Para este caso vamos configurar o
secundrio com o SuperDNS servidor 1 cujo endereo dns1.superdns.com.br e seu
ip corresponde a 72.233.55.28, entenda que apenas um exemplo e no
recomendo este como seu DNS secundrio.
Ainda no profile em questo, na aba General as opes Use Compression/Use VJ
Compression/Use Encryption devem ficar na posio no e Change TCP MSS em
yes, esta segunda pode lhe economizar alguma dor de cabea com MSN e coisas do
gnero e voc pode optar por no utilizar as configuraes indicadas aqui e ainda
assim no ter problema algum desde que saiba o que esta fazendo, no tenha medo
de experimentar pois tambm dessa forma que se adquire conhecimento.
8/33
10/10/13
Na aba Limits vamos utilizar as velocidades relativas ao plano sendo que no

MikroTik como indicado no campo Rate Limit onde deve ser informado primeiro o
upload do plano que no caso o rx do servidor (em relao ao cliente que quem
vai utilizar o profile) e em seguida informar o download que o tx do servidor com
as velocidades separadas por / da seguinte forma 64k/128k ou ainda
64000/128000. O campo Rate Limit permite configuraes bastante diversas com
ou sem omisso de parmetros, vale a pena estudar a respeito.
Exemplo 1: 64000/128000 ou 64k/128k
2: 51k/102k 64k/128k 40k/81k
3: 51k/102k 64k/128k 40k/81k 8
4: 51k/102k 64k/128k 40k/81k 6 8
5: 51k/102k 64k/128k 40k/81k 128/192 8
6: 51k/102k 64k/128k 40k/81k 128/192 8 32k/64k
Composio do campo Rate Limit (tx/rx)
[rx-rate/rx-rate][rx-burst-rate/tx-burst-rate][rx-threshold/tx-threshold][rx-time/txtime] [prio/prio] [rx-limit-at/tx-limit-at]
- cadastro de usurio
Para saber mais sobre estas opes consulte o manual do MikroTik e/ou defina os
valores de exemplo em um plano e consulte na tabela Queue Simple a fila do
usurio aps conexo. Tambm pode utilizar usar 1M no lugar de 1024k. Pode-se
utilizar k, M ou G.
Configurado o primeiro plano de acesso siga configurando os demais para outras
velocidades, mas antes disso voltamos ao servio PC.PPPoE e alteramos o Default
Profile para PC.Conecta.
Seguindo com a configurao vamos agora cadastrar o primeiro usurio/cliente para

conexo via servidor PPPoE. Acesse o menu Secrets e preencha os campos
conforme indicado:
Name: testepc
Password: senhapc
Profile: PC.Conecta
Service: (pppoe, para outros tipos selecione da lista)
Caller ID: (opcional, cadastre o MAC se quiser amarrao)
Local Address: (opcional, pode usar outro IP que ser o gateway)
Remote Address: (opcional, IP do cliente que vai pegar do profile)
9/33
10/10/13
O campo Caller ID: pode ser preenchido com o MAC Address do equipamento
cliente e tem a funo de amarrar o login/name ao MAC, podemos ainda preencher
o campo Remote Address caso desejemos que este login/name conecte sempre
com o mesmo endereo IP.
O campo Local Address fornecido automaticamente pelo profile selecionado
sendo este o gateway da conexo PPPoE, podendo ser informado manualmente caso
haja necessidade.
Curiosidades: em verses antigas (2.x) do MikroTik havia um bug de o cliente
conectar e no navegar, a navegao somente era possvel quando o mesmo recebia
outro IP, esta situao era facilmente evitada preenchendo o endereo do Local
Address nos cadastros.
__________________________________________________________________
Configurao do servidor NTP
Importante: configurar as informaes de data, hora e localizao, alguns podem
achar que algo desnecessrio, eu afirmo que tem muita importncia ento vamos
a isso. Primeiro configuramos o Manual Time Zone, no meu caso estou em
Comodoro que fica no interior do estado de Mato Grosso, sendo assim o Time
Zone -04:00, em seguida acerte os valores da aba Time.
Na seqncia configuramos o NTP Client para manter nosso relgio em

sincronismo, fazemos isso utilizando os servidores nacionais sendo eles, a.ntp.br e
b.ntp.br ou outro de sua preferncia.
Note que ao aplicar a configurao o texto digitado se converte automaticamente no

IP de cada servidor e para isso utiliza o servio DNS configurado neste equipamento.
10/33
10/10/13
__________________________________________________________________
Criando o MASCARAMENTO dos IPs privados
Neste momento dado a natureza dos IPs que utilizamos na pool_acesso vamos
criar o mascaramento local para que seja possvel o trafego de dados entre os
clientes e a internet.
Acesse IP/Firewall/NAT e insira uma nova regra com as seguintes caractersticas:
Na aba General
Chain: srcnat
Src. Address: 10.0.0.0/24 (classe destinada aos clientes)
Out . Interface: EthLinkD
Na aba Action
Action: masquerade
Voc pode ter feito esse procedimento dezenas de vezes e de vrias maneiras
diferentes sem se perguntar por que, neste caso quando fazemos o mascaramento
estamos dizendo para o MikroTik que todas as requisies vindas dos clientes
(pool_acesso, IPs 10.0.0.0/24) com sada pela interface EthLinkD sero
mascaradas pelo NAT, em linhas gerais isso garante que o firewall seja afetado
positivamente para os acessos da sua rede interna, o que isso significa? Que quando
voc for fazer utilizao de um servidor externo de quaisquer servios conectados a
outra interface que no seja EthLinkD (pode ser EthIntranet ou outra qualquer),
estes servios iro registrar o IP individual de quem estiver buscando pelo servio e
no o IP do servidor o qual seria enviado caso no estivssemos definindo uma
interface especifica para a sada padro (leia-se rota default).
11/33
10/10/13
Um exemplo prtico so os redirecionamentos para servidores de proxy cache, sem

informar a Out. Interface o servidor de cache vai entender que todas as requisies
so oriundas do IP do servidor MikroTik que fizer a conexo com o proxy cache,
imagine ento se for um servidor de firewall e ou autenticaes, onde todos os
usurios chegassem com o mesmo IP.
Feito isso j podemos conectar nosso primeiro cliente ainda que no tenhamos
configurado o servidor de cache, e para tanto se faz necessrio configurar um
discador pppoe, seja em um rdio ou no prprio sistema operacional do usurio.
De posse do usurio e senha cadatrados na Secrets conecte um cabo de rede entre
a interface EthClientes e o equipamento que far a discagem, na maioria dos casos
os rdios suportam auto-MDIX, para micros ligados diretamente ao servidor e placas
de rede que no o suportem utilize um cabo de rede crossover.
http://en.wikipedia.org/wiki/Ethernet_crossover_cable
Aps conexo observamos em Active Connections a presena da conexo discada
e o respectivo endereo MAC na coluna Caller ID.
Na aba Interface possvel ver a interface criada pelo pppoe com trafego de tx/rx
(download/upload pois o sentido servidor>cliente)
Em Queue List na aba Simple Queue possvel observar o trfego do cliente no

controle de filas sendo que os valores instantneos so para o trfego que passa
pelo servidor com destino a internet.
12/33
10/10/13
A cor vermelha indica que o trafego excede 75% do valor configurado em Max
Limit, outras cores so laranja para 50% e verde para 25%.
__________________________________________________________________
Integrao ao sistema de cache NIMOC Power
Comecemos por configurar a interface que far a comunicao com o cache, neste
caso especifico recomendo a instalao de uma interface com o nico propsito de
se comunicar com o servidor de cache.
Vamos agora re-nomear a interface ether3 para EthCache, que como o prprio
nome diz ser a interface exclusiva que ser conectada ao NIMOC Power.
Vamos agora configurar a conexo entre o MikroTik e o servidor de cache, no
MikroTik acesse o menu IP / Address e configure o seguinte IP 192.168.10.253/30
na interface EthCache, este ser o gateway e dns secundrio do servidor de cache.
Feito isso configure o seu servidor de cache N!MOC com as seguintes informaes.
IP Address: 192.168.10.254
Mascara: 255.255.255.252
Gateway: 192.168.10.253
Dns primrio: 127.0.0.1
Dns secundrio: 192.168.10.253
Para tanto vamos utilizar o aplicativo niconfig que se encontra presente no sistema
instalado a partir do N!MOC INSTALLER CD:
Tento logado como root digite no console do N!MOC Linux:
niconfig <ENTER>
Caso sua placa de rede seja identificada diferente de eth0, no h problema apenas
lembre em qual interface voc configurou o IP para futuras configuraes ou
consultas se necessrias.
13/33
10/10/13
Na seqencia vamos configurar IP 192.168.10.254 e mascara de rede

255.255.255.252, esta classe possui apenas os 2 IPs livres para uso que
necessitamos na comunicao entre os dois servidores.
14/33
10/10/13
Ao final clique aceitar sobre a seleo SAIR.

Antes que comece a se questionar sobre o que acabamos de fazer e o uso do
sistema de cache com suporte a TPROXY quero adiantar que dessa forma ser
possvel e sem nenhuma limitao o uso do TPROXY tanto para IPs pblicos quanto
de IPs privados, os IPs configurados acima no influenciam no uso desse recurso e
s servem para o transito das demais classes de IP.
Obs: N!MOC Power LYE tem suporte a TPROXY em LINUX/BSD alm de muitos
outros recursos importantes para a configurao de uma rede profissional.
Note que os IPs de gateway e dns indicam que o MikroTik ser o gateway e dns
secundrio do servidor de cache e portanto todo trafego que o servidor de cache
solicitar ir passar pelo MikroTik, para isso devemos configurar o mascaramento
desta classe em IP / Firewall / NAT, adicione uma nova regra da mesma forma que
o fizemos quando criamos o mascaramento para os clientes.
Na aba General no campo Chain selecione srcnat em seguida no campo Src.

Address: digite 192.168.10.252/30 que ser destinada a comunicao entre o
cache e o MikroTik, em seguida no campo Out Interface selecione a interface
utilizada na comunicao com a internet EthLinkD, e por ltimo na aba Action e
campo de mesmo nome selecione masquerade.
E com isso conclumos o mascaramento da rede que dar suporte ao servidor de
cache.
Nossa tabela NAT deve agora estar como abaixo:
15/33
10/10/13
Agora vamos criar as marcaes para o desvio do trafego via tabela mangle para
redirecionar as requisies da porta 80 at o cache N!MOC seguindo o exemplo a
seguir .
Acesse IP / Firewall / Mangle e insira uma nova regra, na abra General selecione a
Chain prerouting, Protocol tcp e Dst. Port 80 ainda em In. Interface selecione
a EthCache e marque a flag ! que significa negao, ou seja todas as interfaces
menos esta, na aba Extras em Src. Address List informe o nome da lista que ir
conter a lista que ir conter os IPs dos clientes e servidores internos que no
devero passar pelo cache. Em seguida informe em Dst. Address List a lista de IPs
que ir conter os endereos de sites da internet os quais no deseja que passem
pelo cache, e no esquea de marcar a flag de negao ! para ambas as listas.
Vamos agora para a aba Action e na opo de mesmo nome selecionamos mark
routing e em New Routing Mark nossa marcao de rota personalizada
chamaremos de to_nimoc, com relao a flag Passthrough podemos deixar
marcada se desejamos que o trafego continue a ser analisado pelas regras seguintes
da tabela ou desmarcarmos se no quisermos, relativo e depende muito do que se
vai fazer nas regras seguintes, no exemplo deixaremos marcada pois nosso exemplo
ser limitado e no teremos regras conflitantes que poderiam sobre gravar nossa
marcao.
16/33
10/10/13
Esta regra como foi concebida far a marcao de rota sobre os IPs 10.0.0.0/24
utilizados pelo plano/profile PC.Conecta do PPPoE Server com a identificao de
to_nimoc.
IMPORTANTE: Quando os IPs a receber a marcao forem privados e
mascarados, no h necessidade de tratar o retorno e a regra acima far toda a
marcao necessria bastando adicionar uma rota na tabela de rotas, porm quando
se tratar de uma classe de IPs pblicos ou mesmo uma classe cujo mascaramento
estiver atrs do equipamento onde estamos fazendo esta marcao fazendo com que
utilizemos o TPROXY, existe a necessidade de tratarmos o retorno conforme a regra
que segue.
Acesse IP / Firewall / Mangle e insira uma nova regra, na abra General selecione a
Chain prerouting, Protocol tcp e Src. Port 80 ainda em In. Interface selecione
EthLinkD, na aba Extras em Src. Address List informe o nome da lista que ir
conter os IPs dos clientes e servidores internos que no devero passar pelo cache.
Em seguida informe em Dst. Address List a lista de IPs que ir conter os endereos
de sites da internet os quais no deseja que passem pelo cache, note que aqui
invertemos a posio das listas e isso proposital j que estamos tratando o trafego
de retorno, e por ltimo na aba Action no recurso de mesmo nome selecione
mark routing e em New Routing Mark informamos o nome da rota que ser
to_nimoc mantendo a flag Passthrough marcada.
17/33
10/10/13
A tabela acima contm apenas a marcao de rotas necessria para uso com
TPROXY ativado, em caso de TPROXY desativado e classes de IPs privados como
no exemplo 10.0.0.0/24 s necessria a primeira regra onde utilizamos Src.
Address e a segunda deve ser eliminada. Vale ainda lembrar que devemos ter uma
regra ou conjunto de regras para cada classe de IPs que desejamos marcar as rotas
para envio ao cache.
__________________________________________________________________
N!MOC Power Regras teis
Adiciona IP a interface do MikroTik que far comunicao com N!MOC Power.
Cdigo :
/ip address
add address=192.168.10.253/24 comment=PC.NiMOC disabled=no interface=EthCache
Ativa resoluo DNS para equipamentos remotes.

Cdigo :
/ip dns
set allow-remote-requests=yes
Bloqueio de acesso externo ao cache N!MOC Power.

Cdigo :
/ip firewall filter
add action=drop chain=input comment=PC.NIMOC disabled=no dst-port=8080 in-interface=EthLinkD protocol=tcp
Bloqueio de acesso externo ao DNS N!MOC Power.

Cdigo :
/ip firewall filter
add action=drop chain=input comment=PC.NIMOC disabled=no dst-port=53 in-interface=EthLinkD protocol=udp
Suporte ao SSH N!MOC Power.

Cdigo :
/ip firewall nat
add action=dst-nat chain=dstnat comment=PC.NiMOC disabled=no dst-port=220 protocol=tcp to-addresses=192.168.10.254 to-ports=22
Suporte ao relatrio HTTP N!MOC Power.

Cdigo :
/ip firewall nat
add action=dst-nat chain=dstnat comment=PC.NiMOC disabled=no dst-port=8282 protocol=tcp to-addresses=192.168.10.254 to-ports=82
Marcao de rota para IP privado no N!MOC Power.

Cdigo :
/ip firewall mangle

add action=mark-routing chain=prerouting comment=PC.NIMOC disabled=no dst-address-list=!sem_cache_dst dst-port=80 in-interface=!EthCache new
Marcao de rota para IP pblico no N!MOC Power.

Cdigo :
/ip firewall mangle

add action=mark-routing chain=prerouting comment=PC.NIMOC disabled=no dst-address-list=!sem_cache_dst dst-port=80 in-interface=!EthCache new
add action=mark-routing chain=prerouting comment=PC.NIMOC disabled=no dst-address=200.201.202.0/24 dst-address-list=!sem_cache_src in-interf
Redirecionamento de rota para N!MOC Power.

18/33
10/10/13
Cdigo :
/ip route
add comment=PC.NIMOC disabled=no distance=1 dst-address=0.0.0.0/0 gateway=192.168.10.254 routing-mark=to_nimoc scope=30 target-scope=10
Lista de IP dos sites que no devero passar pelo cache N!MOC Power.
Cdigo :
/ip firewall address-list
add address=1.2.3.4 comment="PC.NIMOC - IP DE SITE SEM CACHE" disabled=no list=sem_cache_dst
Lista de IP dos clientes que no devero passar pelo cache N!MOC Power.
Cdigo :
/ip firewall address-list
add address=1.2.3.4 comment="PC.NIMOC - IP DE CLIENTE SEM CACHE" disabled=no list=sem_cache_src
Monitoramento do N!MOC Power e desativao automtica de marcaes.

Cdigo :
/tool netwatch
add comment=PC.NIMOC disabled=no down-script="/ ip firewall nat set [find comment=PC.NIMOC ] disabled=yes\r\
\n/ ip firewall mangle set [find comment=PC.NIMOC ] disabled=yes" host=192.168.10.254 interval=5s timeout=2s up-script=\
"/ ip firewall nat set [find comment=PC.NIMOC ] disabled=no\r\
\n/ ip firewall mangle set [find comment=PC.NIMOC ] disabled=no"
Monitoramento da internet e desativao automtica de marcaes.

Cdigo :
/tool netwatch
\n/ ip firewall mangle set [find comment=PC.NIMOC ] disabled=no"
\n/ ip firewall mangle set [find comment=PC.NIMOC ] disabled=no
__________________________________________________________________
Cache Full
Chegamos a um ponto importante, tanto se ouve falar em Cache Full que a definio
propriamente dita se torna confusa, seria um cache cheio ?
Cache Full na definio dos usurios que o utilizam significa enviar o contedo web
normalmente do tipo multimdia e armazenado em proxy cache local para os
usurios/clientes da rede furando o controle de banda convencional da Queue
Simple utilizando para isso a marcao de pacotes e a Queue Three que
comumente utilizada para controle em sistemas de QoS.
O mais comum encontrado em dezenas de paginas web baseado na marcao de
pacotes contendo o parmetro o que pode ser feito pela tabela Mangle na Chain
postrouting, em seguida na aba Advanced em Content digitando X-Cache: HIT
seguindo para a aba Action em campo de mesmo nome selecione mark packet e
em New Packet Mark digite cachefull. Sequer darei um exemplo utilizando a
Queue Three por considerar que este mtodo possui uma srie de problemas
graves.
No entanto existem outros mtodos possveis que podem ser aplicados, um dos
quais relaciono abaixo tpicos que considero mais importantes.
1 Marcar os pacotes pelo DSCP/TOS e no pela Content, isso porque este
segundo mtodo alm de inseguro ineficaz e exige maior processamento.
2 Informar por onde o trafego adentra ao MikroTik e/ou para onde segue, isso
ajuda a diminuir a carga e evita que a marcao seja utilizada para enviar algum
19/33
10/10/13
outro contedo forjado com a mesma marcao.

3 Criar uma Queue Type que vai fazer o controle individua de uso do contedo
previamente marcado.
4 Criar uma Simple Queue que ser responsvel por limitar o trfego que ser
enviado para determinada classe de IPs. E inserir nela o controle individual como
veremos a seguir.
1.1 - Comecemos marcando os pacotes, para isso acesse IP / Firewall / Mangle e
insira uma nova regra, na abra General selecione a Chain prerouting, Protocol
tcp, In. Interface EthCache, na aba Advanced em DSCP(TOS) informe o valor
18 que corresponde a marcao 72 no exemplo.
Ainda na mesma regra na aba Action, campo de mesmo nome selecione a opo
mark connection e logo abaixo no campo New Connection Mark digite
conn_nimoc. Clique em OK e esta pronta esta primeira regra, o que ela faz
identificar as conexes oriundas do servidor de cache e que contm a marca
desejvel recebida via DSCP/TOS, ainda falta marcar os pacotes dessas conexes o
que faremos na segunda regra.
Dica: para saber como funciona a relao entre valores basta saber que 0 = 0, 1 =
4, 2 = 8, 3 = 12 e finalmente 18 = 72, portanto multiplique a marcao informada
no MikroTik por 4 e vai obter o valor a ser configurado no parmetro DSCP/TOS
quando suportado pelo cache. N!MOC Power tem suporte a DSCP/TOS.
1.2 Adicione uma nova regra e na abra General a Chain prerouting, e logo
abaixo no campo Connection Mark selecione a marcao chamada conn_nimoc,
v at a aba Action no campo de mesmo nome selecione mark packet e logo
abaixo em New Packet Mark vamos colocar a identificao dos pacotes como
pack_nimoc, tendo o cuidado de desmarcar Passthrough pois no queremos que
o mesmo pacote esteja sujeito a receber outra marca depois dessa o que faria com
que a marca anterior fosse sobrescrita inutilizando nossa primeira marcao.
20/33
10/10/13
Tabela mangle contendo apenas regras para marcao do contedo em cache.
Em Queue Type adicione uma nova a qual daremos o nome de nimoc_conecta

levando o nome do servidor de cache mais o plano de acesso onde ser utilizada.
No campo kind selecione o tipo pcq se no sabe como funciona cada controle de
filas recomendo que busque no manual, o pcq um dos mais prticos e faz muito
bem o trabalho neste caso.
No campo Rate podemos definir duas formas distintas de se trabalhar no caso do
pcq, deixando o campo com valor 0 significa sem limite ou seja, o que for definido
no queue pai ser o limite e os casos que se enquadrarem neste queue type
dividiro o valor do limite entre si, pode ser desejvel em muitos casos. No nosso
exemplo vamos definir o valor de 256k pois queremos forar este limite individual,
logo abaixo nos campos Limit e Total Limit vamos manter os valores padres
que so adequados para o que j configuramos anteriormente neste exemplo,
interessante que busquem estas informaes nos manuais pois elas podem fazer a
diferena entre um servio congestionado e uma internet navegando solta.
21/33
10/10/13
Na seqncia temos quatro possveis opes de classificadores ou Classifier, vamos

marcar apenas uma delas que a Dst. Address ou seja do ponto de vista do
servidor por endereo de destino.
3.2 O prximo passo criar o controle que ir utilizar a Queue Type recm
criada, acesse Queue List e na aba Simple Queue criemos uma nova a qual
iremos chamar de NIMOC-Conecta, em Target Address identifique os IPs que
sero de certa forma favorecidos por ela, no nosso caso os do plano PC.Conecta
representados pela classe 10.0.0.0/24, nos campos Max Limit devemos nos
preocupar apenas com o Target Download, explicarei logo mais, para este campo
vamos utilizar o valor de 2M ou seja 2 Megas.
Seguimos para a prxima aba Advanced e nela selecionamos a Queue Type de

nome nimoc_conecta criada no passo anterior.
Chegamos no pulo do gato, temos agora um controle que restringe em 2 Megas
para toda a classe de IPs 10.0.0.0/24 que atende os clientes do plano de 128k
sendo que o controle individual quem faz a Queue Type a qual chamamos de
nimoc_conecta, neste estgio voc deve estar se perguntando como identificar os
pacotes oriundos do cache para que tal controle seja somente para o contedo vindo
do cache com a marcao que fizemos, para tanto na aba Advanced selecione em
Packet Marks a marcao criada sobre os pacotes vindos do cache que chamamos
de pack_nimoc.
22/33
10/10/13
O ltimo passo fazer com que este controle seja sempre o primeiro na lista
Queue Simple e para isso basta arrastar para a primeira posio da lista, caso
utilize HOTSPOT ir precisar de um script para que cada vez que algum logue no
sistema ele redefina a ordem da lista jogando este controle pra primeira posio,
como no o caso do nosso exemplo vou tomar a liberdade e pular esta etapa.
Com a soluo proposta espero liquidar de vez o chamado CacheFull que s traz
dores de cabea e deteriora completamente as conexes wireless, no que o que
propomos aqui se implementado erroneamente tambm no o faa mas o risco
menor se voc compreender o que esta fazendo do que configurar as cegas.
O resultado dessa implementao que o cliente ainda ter os 128k de download
quando o trfego for oriundo da internet porm ele ter mais 256k quando o
contedo j estiver em cache totalizando uma banda de navegao de 384k fazendo
o cliente muito mais satisfeito e o provedor muito mais econmico e competitivo
com a banda disponvel, como resultado temos uma melhora significativa em
servios com consumo de streaming, o cliente ainda consegue navegar pelos sites
mais visitados e falar ao skype ou utilizar tecnologias similares gastando o mnimo
de banda do seu link.
__________________________________________________________________
Repasse de IP Pblico com exemplo para PPPoE
Exemplo 1:
O Provedor recebe o link dedicado e uma classe /29, utiliza o primeiro IP dessa
classe como gateway e o segundo como IP do seu servidor MikroTik .
1.1 - Neste caso, configure a interface do Link como proxy-arp e a interface dos
clientes como reply-only depois adicione a seguinte regra no MikroTik em NEW
TERMINAL e cole:
Cdigo :
/ ip firewall nat
add chain=dstnat action=passthrough src-address=XX.XX.XX.XX/XX comment="REPASSE DE IP" disabled=no
Onde XX.XX.XX.XX/XX o IP/MASCARA que tiver disponvel do seu link

Aps ter feito isso adicione cada IP no campo 'Remote Address' em 'PPP secret' para
cada cliente que tiver 'IP Pblico e fixo'. Ou crie uma pool em IP / Pool' contendo os
IPs disponveis e defina esta 'pool' no 'profile' default de seu servidor PPPoE ou
ainda apenas no profile/plano que estiverem os clientes que vo receber IP Pblico e
estes tero um IP dinmico que poder mudar a cada nova conexo.
Dica: PROXY-ARP no o mtodo mais seguro, mas permite alguma flexibilidade
quando no dispuser de muitos IPs e no tiver acesso configurao do roteador
de borda.
23/33
10/10/13
Dica: No crie um mascaramento dito 'genrico', mascare apenas as classes de IP

privadas que estiverem em uso. Ex: 10.0.0.0/24
Dica: Sempre informe a 'out-interface' no mascaramento como sendo a interface do
link (EthLinkD).
Dica: Cuidado com programas de gerenciamento para provedores que criam regras
em seu sistema, essa pode ser a causa de muitos problemas.
Exemplo 2:
O provedor recebe o link dedicado em uma classe e possui outras classes adicionais
para utilizar com clientes, ou ainda pode quebrar em subclasses para criar seu
roteamento interno.
Este o tpico caso onde podemos aplicar o roteamento de forma bastante simples.
Basicamente o que deve fazer seguir com o roteamento da operadora 'pra dentro'
da sua estrutura, vamos l:
2.1 - Coloque um IP pblico na interface do link.
2.2 - Defina as classes pblicas nos pools de IPs que ir utilizar para seus usurios
e a cadeia de conexo que devero seguir. Ex: PoolA cai no PoolB quando estiver
cheio e assim por diante, recomendo que faa isso pois ter um melhor controle e
poder utilizar para cada pool de IPs um plano diferente e isso pode ter vrias
implicaes positivas em uma futura QoS.
2.3 - No profile padro do PPPoE Server indique que o 'Local Address' que ser o
gateway default dos clientes o IP pblico da interface do link, assim o roteamento
estar completo.
Trocando em midos, voc estar indicando que a rota de sada dos IPs segue seu
roteamento padro.
Dica: Nunca mascare classes de IPs pblicos a no ser que tenha uma boa
justificativa, como por exemplo por possuir poucos IPs pode criar um
mascaramento para cada plano e indicar uma sada para cada plano ou grupo de
clientes ou seja, clientes do planoA/grupoA saem mascarados pelo ip pblico A, do
B pelo B e assim por diante.
Exemplo 3:
Repassando mais de um IP pela conexo PPPoE utilizando roteamento esttico.
3.1 - Defina um IP fixo para o cadastro do secret/usurio em questo no campo
'Remote Address', pode at ser um IP privado.
3.2 - Acesse o menu IP / Route e adicione uma rota contendo no destino DstAddress os IPs que deseja repassar e no gateway o IP do usurio que definiu no
cadastro do usurio/secret no passo anterior.
Obs.: Se tiver muitos clientes com esta mesma necessidade este mtodo invivel e
se faz necessrio implantar o OSPF para o gerenciamento das rotas. Na maioria dos
casos a implantao simples e rpida e vai depender de como a rede estiver
configurada.
Exemplo 4:
Repasse de IP pblico utilizando roteamento interno por OSFP.
No caso de muitas rotas e/ou onde j tiver a autenticao na borda dever optar por
um mtodo de roteamento dinmico e uma das vantagens que com isso
economizar recursos da central, diminuindo o trfego de broadcast e possivelmente
aumentando a segurana da sua rede de distribuio.
Se for migrar uma bridge de distribuio por exemplo, o primeiro passo passar a
autenticao para as bordas, e na seqncia rotear os dispositivos conectados a
borda, seguindo em direo a sada do link, com isso ser possvel fazer a migrao
a quente e continuar usufruindo da estrutura em bridge at a virada total.
OSPF bsico tambm rpido de fazer configurar, voc tem de definir a network
rea que far o transporte redistribuindo a rota default e redistribuir as conectadas
tipo 1 no seu servidor ou apenas as conectadas quando tiver fixa a rota default.
FIG
Nas bordas precisa configurar a mesma network para o transporte e na instncia
redistribuir a rota default e conectadas tipo 2 ou apenas as conectadas na maioria
dos casos.
FIG
24/33
10/10/13
Dessa forma teremos o funcionamento esperado e ser possvel visualizar as

instncias UP em ambos os lados.
No exemplo temos 22 pontos participando do OSPF na rea backbone.
FIG
Tambm podem existir outras reas entre a borda e o seu concentrador
aumentando a complexidade e at terminar num anel podendo utilizar essa
topologia como backup de rotas com stp ou rstp e a possibilidade de custos
diferenciados para cada sada permitindo balancear melhor o trfego.
__________________________________________________________________
PCC Load Balance
No exemplo utilizaremos Mikrotik 3.30 e 3 links de mesma velocidade.
EthLinkA = Interface do 1 link
EthLinkB = Interface do 2 link
EthLinkC = Interface do 3 link
EthLB = Interface de sada do balance
Quando em modo roteado:
10.1.10.129 = IP do modem A
10.1.10.161 = IP do modem B
10.1.10.193 = IP do modem C
Endereos das interfaces no MikroTtik ROS PCC Balance
10.1.10.130/27 = IP da interface EthLinkA
10.1.10.162/27 = IP da interface EthLinkB
10.1.10.194/27 = IP da interface EthLinkC
172.22.22.1/30 = IP de sada do balance
Endereo da interface do Servidor - Autenticador
172.22.22.2/30 = IP do servidor conectado a sada do balance
Regras e explanaes sobre PCC
Tabela MANGLE Lista de destinos sem balanceamento
Cdigo :
/ip firewall mangle
add action=accept chain=prerouting comment="PC.SB" disabled=no dst-address-list=sem_balance in-interface=EthLB
Esta regra aceita as conexes para todos os IPs de destino que se encontrarem na
lista 'sem_balance' que iro sair pela rota padro, veja o texto mais adiante.
Tabela MANGLE Marcao de conexes
Cdigo :
/ip firewall mangle

add action=mark-connection chain=input comment="PC.IN" connection-state=new disabled=no in-interface=EthLinkA new-connection-mark=conn_na pa
add action=mark-connection chain=input comment="" connection-state=new disabled=no in-interface=EthLinkB new-connection-mark=conn_nb passthr
add action=mark-connection chain=input comment="" connection-state=new disabled=no in-interface=EthLinkC new-connection-mark=conn_nc passthr
Cria as marcas (conn_na, conn_nb, conn_nc) para novas conexes em cada uma
das interfaces (EthLinkA, EthLinkB, EthLinkC)
Tabela MANGLE Marcao de rotas
Cdigo :
25/33
10/10/13

/ip firewall mangle
add action=mark-routing chain=output comment="PC.OUT" connection-mark=conn_na disabled=no new-routing-mark=to_ra passthrough=no
add action=mark-routing chain=output comment="" connection-mark=conn_nb disabled=no new-routing-mark=to_rb passthrough=no
add action=mark-routing chain=output comment="" connection-mark=conn_nc disabled=no new-routing-mark=to_rc passthrough=no
Utiliza as marcaes (conn_na, conn_nb, conn_nc) para criar as marcaes das

respectivas rotas (to_ra, to_rb, to_rc)
Tabela MANGLE Peer Connection Classifier (Identificao das
conexes)
Aqui comea o PCC propriamente dito.
Cdigo :
/ip firewall mangle

add action=mark-connection chain=prerouting comment="PC.CON" disabled=no dst-address-type=!local in-interface=EthLB new-connection-mark=conn
add action=mark-connection chain=prerouting comment="" disabled=no dst-address-type=!local in-interface=EthLB new-connection-mark=conn_nb pa
add action=mark-connection chain=prerouting comment="" disabled=no dst-address-type=!local in-interface=EthLB new-connection-mark=conn_nc pa
Agora utilizando os classificadores (0, 1 e 2) na interface de sada do balance EthLB

criamos novas marcas de conexo (conn_na, conn_nb, conn_nc).
Note que se tivssemos 4 links seria aqui que faramos as alteraes para (0, 1, 2 e
3) ficando 4/0, 4/1, 4/2, 4/3 ou ainda se tivssemos links assimtricos ( Ex: LinkX
de 512k - LinkY de 1024k - LinkZ de 2048k), deveramos somar os valores de todos
os links e dividir pelo valor do menor link ento teramos:
Exemplo: (512k + 1024k + 2048k )/ 512k = 7
Assim teramos 7 marcaes de PCC indo de 7/0 at 7/6 das quais deveramos
direcionar a primeira pro link X, a segunda e terceira pro link Y e as quatro restantes
para o link Z fazendo nosso sistema perfeitamente equilibrado, vale ressaltar que
sistemas do tipo ADSL no garantem a banda.
Portanto devemos fazer testes em cada um dos links para aferir as velocidades
possveis em cada um, j vi muitos casos onde um link desse tipo de 2MB era
melhor do que o de 4MB da mesma operadora instalada no mesmo local, essa
relao depende diretamente da ocupao/uso instantneo do concentrador da
operadora ao que cada link estiver conectado, normalmente adsl.
Utilizando das novas marcaes de conexo (conn_na, conn_nb e conn_nc) do
passo anterior (PCC), criamos uma nova marcao de rota para os pacotes entrando
pela interface EthLB que chamaremos novamente de to_ra, to_rb e to_rc.
Tabela MANGLE Peer Connection Classifier (marcao das rotas)
Cdigo :
/ip firewall mangle

add action=mark-routing chain=prerouting comment="PC.MR" connection-mark=conn_na disabled=no in-interface=EthLB new-routing-mark=to_ra passt
add action=mark-routing chain=prerouting comment="" connection-mark=conn_nb disabled=no in-interface=EthLB new-routing-mark=to_rb passthroug
add action=mark-routing chain=prerouting comment="" connection-mark=conn_nc disabled=no in-interface=EthLB new-routing-mark=to_rc passthroug
Assim tendo as conexes devidamente identificadas (conn_nX) e rotas definidas para

cada conexo (to_rX), seguimos para o mascaramento.
Tabela NAT - Mascaramento
Cdigo :
/ip firewall nat
add action=masquerade chain=srcnat comment="PC.MSQ " disabled=no out-interface=EthLinkA
add action=masquerade chain=srcnat comment="" disabled=no out-interface=EthLinkB
add action=masquerade chain=srcnat comment="" disabled=no out-interface=EthLinkC
Vale ressaltar que o mascaramento pode ser feito de vrias formas, indicando por
exemplo o IP da interface de sada utilizando a action src-nat (no caso de termos
mais de um IP de sada na mesma interface). Pela interface de cada link como
acima, ou ainda apenas mascarando a interface de sada do balance EthLB em
26/33
10/10/13
negao como abaixo, escolha a sua de acordo com o seu entendimento e

necessidade.
Cdigo :
/ip firewall nat
add action=masquerade chain=srcnat comment="PC.MSQ " disabled=no out-interface=!EthLB
Tabela NAT DMZ / Demilitarized Zone

Cdigo :
/ip firewall nat
add action=dst-nat chain=dstnat comment=PC.DMZ disabled=no dst-port=!8291 in-interface=!EthLB protocol=tcp to-addresses=172.22.22.2
O exemplo acima redireciona todas (menos as da porta 8291 que do acesso ao

winbox) as entradas pelas interfaces diferentes da EthLB, portanto estamos nos
referindo as entradas dos links, para o IP 172.22.22.2 que no caso ser o servidor
ligado a sada do balance.
O DMZ evita ter que criar uma regra para cada porta e cria uma zona de acesso
direto havendo correspondncia entre as portas, pode-se excluir uma ou mais portas
do DMZ caso tenham um destino diferente.
No caso da porta de origem ser diferente da porta destino, devemos criar uma regra
indicando tal situao e posicion-la antes da regra do DMZ.
Cdigo :
/ip firewall nat

add action=dst-nat chain=dstnat comment=PC.WBX disabled=no dst-port=8292 in-interface=!EthLB protocol=tcp to-addresses=172.22.22.2 to-port
A regra acima serve para o acesso do servidor pelo winbox a partir da internet por
qualquer dos links conectados ao balance e deve estar na tabela NAT antes da regra
de DMZ.
Seguimos para a prxima etapa onde iremos definir as rotas padro e backup para
cada marcao criada at agora.
Tabela ROUTE Indicao de rotas e redundncia
Definimos 3 rotas sendo que cada uma tem um custo diferente e portanto a primeira
ter a preferncia (distance=1), caso venha a faltar a segunda assume(distance=2),
em seguida a terceira(distance=3).
Cdigo :
/ip route
add comment="" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.1.10.129
Sendo a rota de custo menor (ex: distance=1) a rota padro (default) para todas as
conexes que no receberem marca de rotas, nesta lista incluem-se os servios e
destinos da lista sem_balance comentada no inicio, portanto interessante que este
link tenha boa capacidade pois alm das conexes oriundas das marcaes ir
receber o trafego sem marcao.
Em seguida todas as 3 rotas que utilizam marca de rotas to_ra, to_rb e to_rc
dividem a carga que foi previamente marcada na tabela mangle.
Enviando to_ra para o gateway 10.1.10.129, to_rb para o gateway 10.1.10.161 e
to_rc para o gateway 10.1.10.193 todas com distance=1 ou seja, como primeira
opo de todas as marcaes.
Cdigo :
27/33
10/10/13

/ip route
add comment="" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.1.10.129 routing-mark=to_ra
add comment="" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.1.10.161 routing-mark=to_rc
add comment="" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.1.10.193 routing-mark=to_rb
Podemos ainda definir links de backup para cada marcao e no caso se um dos
links cair, o link de backup assume a tarefa de transmitir os pacotes como fizemos
para a rota padro, agora tambm para as marcaes de rota.
Cdigo :
/ip route
add comment="" disabled=no distance=2 dst-address=0.0.0.0/0 gateway=10.1.10.161 routing-mark=to_ra
add comment="" disabled=no distance=2 dst-address=0.0.0.0/0 gateway=10.1.10.193 routing-mark=to_rc
add comment="" disabled=no distance=2 dst-address=0.0.0.0/0 gateway=10.1.10.129 routing-mark=to_rb
Note que a o gateway de backup para to_ra 10.1.10.161, para to_rb

10.1.10.193 e para a to_rc 10.1.10.129.
Pode-se opcionalmente criar vrias rotas de backup com custos (distance) diferentes
at cobrir todas as possibilidades.
Dica: Tambm possvel fazer com que o prprio Mikrotik ROS disque as conexes
do tipo ADSL/PPPOE aumentando a eficincia do sistema e utilizando modens em
bridge, sendo que neste caso recomendado fazer o mascaramento e indicao do
gateway ambos pela interface pppoe-out e no mais pelo IP.
Dica: com relao ao usar o check ping, devemos tomar cuidado pois links de
diferentes tipos tendem a ter diferentes tempos de resposta ao ping e quando este
mtodo utilizado pode ocorrer desigualdade entre os consumos dos links apesar
de as marcaes estarem corretas, isso porque o sistema leva em considerao o
tempo de resposta de cada gateway.
Dica: para que o balance PCC funcione de maneira mais adequada, o menor link
deve ser superior ao maior plano comercializado e a maior eficincia do balance
depende de requisies menores chegando ao balance em grande quantidade e no
a poucas requisies em maior quantidade, lembre-se disso, balance no soma de
link mas sim a diviso das requisies.
__________________________________________________________________
DMZ no MikroTik
Se o que voc quer no caso apenas um redirecionamento pblico/privado e seu
retorno, tens duas formas bastante simples de fazer, por dst-nat e src-nat ou
utilizando netmap, observe os exemplos que seguem.
Adicione o ip pblico e mascara a interface pblica do mikrotik (entrada do link).
Na tabela NAT adicione uma regra cuja chain dst-nat redirecione o que chegar para
o ip pblico utilizando tambm a action dst-nat para o ip privado, identificando a
interface de entrada como sendo o seu link.
Cdigo :
/ip firewall nat
add action=dst-nat chain=dstnat comment="PC.DSTR" disabled=no dst-address=200.201.202.1 in-interface=EthLinkD to-addresses=10.90.1.1
Na sequencia faa o oposto, mascarando as requisies que chegarem do ip privado

para sairem pelo ip pblico identificando a interface de sada como sendo o link.
Cdigo :
/ip firewall nat
action=src-nat chain=srcnat comment="PC.MSQR" disabled=no out-interface=EthLinkD src-address=10.90.1.1 to-addresses=200.201.202.1
E no esquea de colocar estas regras antes do seu mascaramento geral para que
28/33
10/10/13
tenha o resultado esperado, este um exemplo de NAT 1:1, voc tambm pode
utilizar o netmap para a funo e fazer o repasse para uma range de IPs sem
necessidade de criar uma regra para cada IP.
__________________________________________________________________
Utilizao de Burst no MikroTik
Acredito que a dvida seja compartilhada com muitos, vou tentar explicar apartir de
exemplo simples o funcionamento do burst.
ML - Max Limit 120k = Mxima taxa de transferncia aps atingido o limite que ser
calculado com base no tempo de 8s podendo atingir a velocidade mxima de 'Burst
Limit = 300k'
BL - Burst Limit 300k = Limite mximo de velocidade usando o recurso de Burst ou
em portugus 'Rajada' ou ainda Estouro.
BT - Burst Threshold 96k = Valor que poder ser consumido para ter direito a novo
BL de 300k
TB - Burst Time 8s = Tempo sobre o qual so calculados os limites de velocidade
Na prtica: o burst calculado utilizando ciclos com base no TB/16 (dividido por
16), no exemplo acima teremos o ciclo de calculo executado a cada 0.5s ou seja,
duas vezes por segundo, o que significa dizer que a cada meio segundo sero
analisados os ltimos 8s (TB) do trfego.
De uma forma geral para ter direito ao burst o resultado calculado de BT deve ser
inferior ao valor informado para BT, seguindo frmula: (BTT/TB) < BT, onde BTT
a mdia do consumo nos ltimos X segundos definidos em TB.
Exemplo:
1s 2s 3s 4s 5s 6s 7s 8s
300k + 100k + 200k + 50k + 30k + 200k + 250k + 150k = 1280k
1280k/8s = 160k/s
Sendo a frmula para a liberao de novo burst BTT / TB < BT e o valor
definido de BT atual definido de 96k, o calculo deste ciclo nos mostra o BT em
160k/s, ou seja, maior que 96k, o burst no ser liberado e o valor limite continua
sendo de ML.
Ainda que o consumo nos prximos 6 segundos se mantenham em 120k:
250k + 150k + 120k + 120k + 120k + 120k +120k + 120k = 1120k
1120k/8s = 140k/s
O resultado continua acima do valor definido para BT que de 96k, no tendo
direito a novo burst at que o resultado do ciclo seja inferior a BT.
Suponhamos que nos prximos 2 segundos o consumo caia:
120k + 120k 120k + 120k + 120k + 120k + 12k + 12k = 744k
744k/8s = 93k
Neste instante o valor calculado inferior ao definido em BT, sendo assim j estar
liberado novamente o valor de BL para a prxima solicitao.
Se voc chegou at aqui parabns, j consegui o que buscava ao escrever este
material.
__________________________________________________________________
NIMOC Power Cache

Se quiser continuar farei uma explanao sobre o N!MOC Power, um sistema de
cache que desenvolvemos focado em alto desempenho entenda-se isso por rapidez e
alto ganho.
O N!MOC Power incorpora os mais importantes recursos suportados por servidores
cache, trabalha com contedo dinmico e esttico dos mais diversos sites
suportando grande volume de carga e armazenamento. Orkut, YouTube, Microsoft,
dezenas de antivrus e sites de contedo multimdia de todos os tipos so
29/33
10/10/13
suportados, hoje so mais de 480 plugins j disponveis e mesmo sem a existncia

destes todo o trafego que passar pelo NIMOC ter seu contedo analisado e alocado
em disco quando configurado.
Suporte nativo a T-PROXY, REDIRECT, DSCP/TOS em diversos nveis,
personalizao de plugins e listas so alguns dos recursos bsicos presentes.
Recursos inovadores e exclusivos garantem a desempenho superior, a verso LYE
agrega adicionais importantssimos e na maioria inditos.
O sistema N!MOC distingue-se dos similares por oferecer um ganho superior tanto
em economia quanto em desempenho, o tempo de resposta aproximadamente 6x
menor que os demais, podendo ultrapassar incrveis 50x para abertura de pginas e
no estou falando sobre acelerao via Queue Type como alguns podem estar
imaginando.
O contedo armazenado localmente passvel de uso por outras aplicaes, sendo
que nada adicionado aos arquivos originais, os mesmos so armazenados da
mesma forma que so recebidos ou armazenados na internet excludo os
utilizadores de responsabilidade por hospedar contedo ilegal e mantendo-se dentro
das normativas e leis internacionais que protegem alguns tipos de contedo.
O N!MOC tem suporte incluso, voc no precisa se preocupar com o suporte do
servidor, faremos isso pra voc sem custo adicional e o valor acessvel a
provedores ou empresas de qualquer porte.
No necessrio acessar nenhum painel, configurar nenhuma opo, basta ligar o
servidor e j estar funcionando, quando e se for necessria alguma interveno ela
ser feita por pessoal altamente capacitado e homologado na plataforma.
Quando a implantao for feita por nossa equipe, oferecemos a Garantia Life
Time, ou seja, pelo tempo que voc utilizar o sistema. S quem tem o melhor pode
oferecer algo assim, garantia por toda a vida do produto s com mxima qualidade
do N!MOC Power LYE.
As atualizaes so disponibilizadas sem custo conforme o plano escolhido e no
necessria uma parada do sistema para 90% das atualizaes, ou seja, as conexes
dos usurios no so interrompidas, os downloads no param no meio e isso
significa muito menos aborrecimentos pra voc.
Se voc tem interesse em ser representante ou desenvolvedor homologado de
aplicaes, envie-nos o seu currculo, necessria experincia em sistemas
operacionais e desejvel conhecimento de duas das plataformas suportadas, nossa
inteno no limitar o nmero de profissionais homologados, mas nivelar por
cima as solicitaes para que os clientes ao receberem o suporte, este seja adequado
e livre falhas.
Fornecemos o treinamento necessrio inclusive para o sistema operacional ento se
voc ainda no possui o conhecimento no deixe de busc-lo.
E no se esquea de quando usar ou citar material de terceiro em incluir as fontes,

isso no vergonha muito pelo contrrio sinal de respeito e reconhecimento e
tambm nos qualifica.
Meus sinceros agradecimentos ao under-linux, seus mantenedores e colaboradores
que fazem desse o melhor frum tcnico da Amrica Latina.
Ao colega de frum Anderson Machado por sua dedicao e incontveis
colaboraes, tambm o meu reconhecimento ao MK-AUTH e seu mantenedor
Pedro Filho e aos demais amigos que conquistei durante estes anos online, os meus
cumprimentos de elevada estima.
Luciano Rampanelli / M4D3
pcram.com.br
30/33
10/10/13
msn: m4d3@hotmail.com / skype: m4d3m4n

Encontrou erros? Quer fazer um comentrio ou dar sua sugesto?
http://goo.gl/Cw6Kh
Links teis:
PCQ > http://goo.gl/p9Mfx / ConLiNUXCD > http://goo.gl/IMUtq
PCC > http://goo.gl/0yMZP / 3x1 > http://goo.gl/Kb3L2
Demonstrativo de Resultado NIMOC Power
Exemplo de grficos aps 6 meses da implantao do sistema em uma rede com

560 usurios, alto ganho entre consumo de banda (em verde) e entrega para os
usurios (em azul) velocidade de acesso que melhorada exponencialmente a
experincia do usurio com contedo multimdia sem comparao.
N!MOC conta com modo turbo um diferencial exclusivo que torna a navegao
muito mais rpida sem depender de outros sistemas. Surpreenda-se com o que h
de melhor em otimizao de estrutura para internet com N!MOC Power LYE
DEUS SEJA LOUVADO
Miniaturas de Anexos
Atualizado 20-09-2012 em 12:49 por m4d3

Tags: cache, configurar, mikrotik, nimoc, power, sobre, tudo, zero
Categorias: Artigos , Dicas , Tutoriais
Enviar Post de Blog por Email
Fazendo as coisas direito, comeando com a RFC1918 por: M4D3

Principal
seu painel solar economizando at 70 por cento
Faa voc mesmo
Comentrios
alexandrecorrea - 21-09-2012 00:39
artigo muito bom.. so queria salientar para a configurao do pppoe..

PAP inseguro porque a senha vai em 'plain-text'.
deixe ativo todos menos PAP.. e configure o radius para suportar
isto..
m4d3 - 21-09-2012 07:09
sim, inseguro porm muitos dos sistemas comerciais atuais s aceitam

31/33
10/10/13
PAP, fica o pedido para que implementem os demais. Abrao

alexandre e obrigado por sua participao.
peritinaicos - 21-09-2012 09:31
Uma duvida que tenho j faz tempo, o uso do burst numa rede
pequena exemplo 100 usurios 70 simultneos almenta muito o uso
da RB? E parabns.
alexandrecorrea - 21-09-2012 10:22
isso nao eh no sistema em si.. mas no radius !!!

autenticao PAP se o cara rodar um radius do tipo "MAN-IN-THEMIDDLE" ele l a senha..
m4d3 - 21-09-2012 17:15
rsss, pode ser at 'man in the side' basta configurar o radius que vai
explorar a rede com password show, j era... me referi aos sistemas
comerciais disponveis no mercado alexandre, os famosos softwares
para ISP, j solicitei no minimo pra meia dzia pra mudar do pap mas
parece que os clientes destes softwares desconhecem ou ignoram
totalmente este tipo de problema... fazer oque n..
r0n3n1x - 01-10-2012 16:57
muito bom o post

betaoity - 05-10-2012 14:56
Blz amigo! timo artigo, aprendi um bocado.

marcos.sebastiao - 11-10-2012 14:50
Pessoal boa tarde, gostaria de saber com um link Dedicado 2MB

posso atender quantos clientes simultneos usando Placa Routerboard
Mikrotik RB800 : - Carto r52h e 3 antenas setoriais de 120.
gigahertzinformatica - 26-10-2012
21:37
Parabens por disponibilizar este balance, foi de grande ajuda pra mim.
Valeu mais uma vez pela fora.
Evilazio - 27-10-2012 23:57
Parabns pela dedicao e pela doao de tempo destinado ao

desenvolvimento desse material to rico de informao. Se houvesse
aqui um material desses to bem detalhado, muita gente tinha
deixado de gastar dinheiro com assessorias de terceiros kkkkkkkk
inclusive eu n no Luciano! um abrao!
alyssonbmx - 30-10-2012 12:42
sem comentrios muito bom . no top, ae do nosso amigo

GERMANSISMAG - 09-11-2012 11:26
Buenas:
Soy nuevo en el foro y en REDES WIFI. Quera comentarle que tengo
un pequeo ISP y estado unas semanas muy duras, despus de caerse
mi torre alguien me ha estado molestando, buscando informacin me
muestra que es un problema en la capa 2 -se conectan como root-;
tengo mis AP en modo RSTP Bridge y me estn atacando, los clientes
se desconectan y la red anda lenta. Buscando informacin tambin e
visto que dice que dejarla en bridge es insegura. Por eso, por este
medio quera expresarle mi inquietud y si algn bondadoso
samaritano quiere ayudarme le agradecera. E ledo por ah que
enrutar la red -o rutear- soluciona algo, as como ponerle mayor
seguridad a la AP Y Clientes ( estaba viendo algo EAP-Certificada). As
como filtrar los puertos del Bridge, estube haciendo pruebas pero
hasta ahora nada me a salido como quera, si pudieran darme una
ayuda con este problema le estar agradecido de por vida.
32/33
10/10/13
P.D.: Muy buenos post e visto en este foro ... FELICITACIONES!!!

lucivaldo - 13-01-2013 22:31
Exelente, no sei como s agora l esse post, parabens.

m4d3 - 08-02-2013 18:50
Fico feliz que tenha gostado, tem um tpico relacionado com o

download de um documento PDF que esta aos poucos sendo
complementado por mim.
Abrao
marioeliox - 10-02-2013 13:39
Queria pergunta para vc qual melhor verso para instalar em um PC

microtik, vou usa hotspot e faze balance entre dois links em uma Rb
450g. Desde j agradeo. Fica com DEUS e viva Cristo Rei.
RickBrito - 07-07-2013 09:52
material show, obrigado por compartilhar.

+ Postar Comentrio
Under-Linux.Org
Curtir
7.228 pessoas curtiram Under-Linux.Org.
Plug-in social do Facebook
2000-2013 Under-Linux.Org - Todos os direitos reservados.
Fale Conosco Under-Linux.Org Condies de Uso FAQ Topo
33/33

MikroTikd de A Az para Todos Os Niveis PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

MikroTikd de A Az para Todos Os Niveis PDF

Enviado por

Direitos autorais:

Formatos disponíveis

10/10/13

MikroTik - De a-Z Para Todos os Nveis

Recent Entries Most Popular Member Blogs

MikroTik - De a-Z Para Todos os Nveis

MikroTik - De a-Z Para Todos os Nveis

DE a-Z PARA TODOS OS NVEIS

Como bons administradores da multiforme graa de Deus, cada um coloque

As prticas relatadas aqui esto em uso desde 2007 em diversos provedores

Otimizando banda disponvel com MikroTik e tcnica

Posts Recentes nos Blogs

Recuperao de RB atravs do software mikrotik

Configurando o MikroTik do Zero

Faa voc mesmo seu painel solar economizando

Vamos comear configurando um servidor bsico com servio de autenticao,

MikroTik - De a-Z Para Todos os Nveis

MikroTik - De a-Z Para Todos os Nveis

__________________________________________________________________ eudesamarelo, gmgustavocruz, jailtonnetlink,

painel netinstall potencia recuperar calculo

Em seguida faremos as definies de IP que so necessrias ao sistema, note que

Winncom - Best Price &

Em seguida devemos informar o default gateway 172.16.50.129 na tabela de rotas.

MikroTik - De a-Z Para Todos os Nveis

Resultando conforme abaixo em nossa tabela de rotas.

MikroTik - De a-Z Para Todos os Nveis

MikroTik - De a-Z Para Todos os Nveis

O resultado deve ser o mesmo anterior.

MikroTik - De a-Z Para Todos os Nveis

MikroTik - De a-Z Para Todos os Nveis

Obs: se o seu sistema suporta outros mtodos eu gostaria de conhec-lo.

Em Local Address informaremos o IP que o cliente receber como gateway e em

- criando o plano de acesso

MikroTik - De a-Z Para Todos os Nveis

MikroTik - De a-Z Para Todos os Nveis

Na aba Limits vamos utilizar as velocidades relativas ao plano sendo que no

Seguindo com a configurao vamos agora cadastrar o primeiro usurio/cliente para

MikroTik - De a-Z Para Todos os Nveis

Na seqncia configuramos o NTP Client para manter nosso relgio em

Note que ao aplicar a configurao o texto digitado se converte automaticamente no

MikroTik - De a-Z Para Todos os Nveis

MikroTik - De a-Z Para Todos os Nveis

Um exemplo prtico so os redirecionamentos para servidores de proxy cache, sem

Em Queue List na aba Simple Queue possvel observar o trfego do cliente no

MikroTik - De a-Z Para Todos os Nveis

MikroTik - De a-Z Para Todos os Nveis

Na seqencia vamos configurar IP 192.168.10.254 e mascara de rede

MikroTik - De a-Z Para Todos os Nveis

Ao final clique aceitar sobre a seleo SAIR.

Na aba General no campo Chain selecione srcnat em seguida no campo Src.

MikroTik - De a-Z Para Todos os Nveis

MikroTik - De a-Z Para Todos os Nveis

MikroTik - De a-Z Para Todos os Nveis

Ativa resoluo DNS para equipamentos remotes.

Bloqueio de acesso externo ao cache N!MOC Power.

Bloqueio de acesso externo ao DNS N!MOC Power.

Suporte ao SSH N!MOC Power.

Suporte ao relatrio HTTP N!MOC Power.

Marcao de rota para IP privado no N!MOC Power.

/ip firewall mangle

Marcao de rota para IP pblico no N!MOC Power.

/ip firewall mangle

Redirecionamento de rota para N!MOC Power.

MikroTik - De a-Z Para Todos os Nveis

Monitoramento do N!MOC Power e desativao automtica de marcaes.