Escolar Documentos
Profissional Documentos
Cultura Documentos
Guia Exclusivo de Referencia-Mikrotik PDF
Guia Exclusivo de Referencia-Mikrotik PDF
2
COMO ACESSAR O ROUTEROS MIKROTIK
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Primeiro acesso:
- Pode ser no prprio box, via serial, SSH ou telnet
- Usurio: admin
- Senha: (em branco)
3
- Ajuda
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Tecla TAB
- Comandos no precisam ser totalmente digitados, podendo ser completados
com a tecla TAB
- Havendo mais de uma opo para o j digitado, se pressionar TAB duas vezes
mostra as opes.
- Manipulao de regras
- add: adiciona regras
- set: muda regras
- remove: remove regras
- disable: desabilita a regra sem apaga-la
- move: move algumas regras cuja ordem influencie (firewall por exemplo)
4
ACESSO VIA WINBOX GUI
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
5
Significado dos cones:
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
INTERFACE WIRELESS
Boto Scan
6
Boto Freq. Usage
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Boto - Align
Ferramenta de alinhamento com sinal sonoro (Colocar o MAC do AP remoto no campo Filter e
campo udio)
7
Boto Sniff
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Boto Snooper
Com a ferramenta Snooper possvel monitorar a carga de trfego em cada canal, por estao
ou por rede.
Esta opo escaneia as freqncias definidas em scan-list da interface.
8
Guia General
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Type: wireless.
ARP: - disable: no responde a solicitaes ARP. Clientes tem que acessar tabelas estticas;
- proxy-arp: passa o seu prprio MAC quando h uma requisio para algum host
interno ao roteador;
- reply-only: somente responde as requisies. Endereos de vizinhos so resolvidos
estaticamente.
9
Guia Wireless
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
10
Band: Banda e modo de operao.
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Frequency Mode:
- Regulatory domain: somente so permitidas o uso das freqncias do pas indicado
no campo Country, sendo que a potncia mxima de transmisso EIRP ser limitada de acordo
com a legislao, considerando-se o ganho de antena indicado no campo Antenna Gain;
- Manual-tx-power: os canais permitidos so os do pas selecionado mas a potncia
informada pelo operador;
- superchannel: somente possvel com a licena superchannel. Todos os canais e
potncias suportados pelo hardware sero permitidos.
11
- post-2.9.25: Extenses aceitas a partir dessa verso e compatvel com todos os
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Default AP Tx Rate: estabelece a taxa mxima, em bps que cada cliente pode ter de
download.
Default Client Tx Rate: Estabelece a taxa mxima, em bps que cada cliente pode enviar ao
AP S funciona para cliente, tambm, Mikrotik.
12
Guia Data Rates
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Nesta tela possvel configurar as Taxas de transmisso suportadas e as Taxas Bsicas, sendo
que:
- Taxas Suportadas (Supported Rates): So todas as taxas que o carto que est
sendo configurado suporta.
13
Guia Advanced
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
rea: String alfanumrica utilizada para descrever um Access Point. Os clientes comparam
esse valor com o que estiver configurado em sua rea Prefix, e se a string toda ou pelo menos
os primeiros caracteres coincidirem estabelecida a associao.
Max Station Count: Nmero mximo de estaes que podem se conectar no AP. Limite
terico de 2007.
14
Ack-timeout
Range
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Burst Time: Tempo em microssegundos que o carto wireless pode transmitir continuamente.
Essa opo s vlida para chipset Atheros AR5000, AR5001X e AR5001X+. A varivel de
leitura burst-support, acessvel via terminal mostra a capacidade ou no do suporte a essa
opo.
Compression: Quando habilitada a compresso (em modo AP-bridge ou bridge), permite que
um cliente que tenha a mesma capacidade de compresso habilitada comunique-se com o AP
comprimindo os dados (compresso de hardware) melhorando a performance. Esta opo no
afeta clientes que no tenham capacidades de compresso
15
A capacidade ou no de compresso de um dispositivo wireless pode ser vista em Interface
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
On Fail Retry Time: Intervalo de tempo aps o qual repetida a comunicao para um
dispositivo wireless cuja comunicao tenha falhado.
Default: 100ms
Guia WDS
16
WDS Mode: Neste modo de operao todos os APs tem que estar configurados com o mesmo
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
nome de rede e utilizando o mesmo canal. Alm da comunicao entre APs, o WDS permite
que se conectem em qualquer dos APs estaes wireless
- disabled: WDS desabilitado
- static: As estaes WDS ficam atreladas umas s outras de forma esttica, com cada
uma referenciando o MAC de sua parceria.
- dynamic: Uma vez estabelecido o enlace, a rede WDS criada automtica e
dinamicamente.
Tendo em vista que WDS pressupe mesmo canal em todos os APs, fica incompatvel o uso de
DFS.
WDS Default Bridge: Uma vez criada uma Bridge em /interface bridge add, os APs
configurados em WDS podem fazer parte desta, bastando indicar neste combo. Para WDS
dinmico recomendvel que todas as interfaces estejam sobre a mesma Bridge.
WDS Default Cost: No caso de redes malhadas (Mesh) feitas com WDS podem-se definir
custos diferentes para diversos trajetos, dando preferncias a determinadas rotas de forma
manual.
WDS Cost Range: Indicao da faixa de custos que sero empregados na rede Mesh.
WDS Ignore SSID: Uma vez habilitada essa opo, os APs iro criar links com qualquer outro
AP que esteja configurado na mesma freqncia, independente do SSID configurado nas
mesmas.
Default = No.
17
Guia Nstreme
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Nstreme um protocolo proprietrio Mikrotik (no 802.11) que tem por objetivo estabelecer
links de desempenho melhorado quando comparado ao padro Wi-fi Normal. Destinado
principalmente a links ponto-a-ponto, mas podendo, tambm, ser utilizado em ambientes
multiponto, desde que todos tenham nstreme habilitado (obviamente todos Mikrotik).
Framer Policy: Mtodo utilizado para combinar pacotes em um quadro maior e com isso
diminuir o overhead da comunicao, aumentando consequentemente a performance.
- none: no combina os pacotes
- besti-fit: coloca o maior nmero de pacotes possveis em um frame, at que o limite
estabelecido em framer-limit seja atingido. No fragmenta pacotes.
- exact-size: pe quantos pacotes for possvel em um quadro, at que o limite
estabelecido em framer-limit seja atingido, mesmo que seja necessrio fragmentar.
- dynamic-size: escolhe o melhor tamanho do quadro, dinamicamente.
18
Guia Tx Power
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
19
Guia Status
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
20
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Guia Traffic
21
Menu Wireless Interfaces
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- VirtualAP: Cria interfaces virtuais (APs com nomes diferentes) na mesma interface fsica. Os
parmetros de freqncia, modo de operao, canal, etc., sero herdados do AP principal.
Criando interfaces virtuais, podemos montar vrias redes dando perfis de servios
diferentes.
22
- WDS: Cria uma interface WDS dando os parmetros:
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Nstreme Dual: Cria uma interface para uso como Nstreme dual utilizando duas antenas
(uma antena para Tx (Transmisso) e outra para Rx (Recepo)).
23
Menu Wireless Access List
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
O Access List utilizado pelo Access Point para restringir associaes de clientes. Esta lista
contm os endereos MAC de clientes e determina qual a ao deve ser tomada quando um
cliente tenta conectar. A comunicao entre clientes da mesma interface, virtual ou real,
tambm controlada nos Access List.
O processo de associao ocorre da seguinte forma:
- Um cliente tenta se associar a uma interface WlanX
- Seu MAC procurado no Access List da interface WlanX
- Caso encontrada a ao especificada ser tomada:
- Authentication marcado: deixa o cliente se autenticar
- Forwarding marcado, o cliente se comunica com outros
24
Menu Wireless Security Profiles
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Na tabela Security Profiles so definidos os perfis de segurana da parte Wireless que poder
ser utilizados no RouterOS.
- WPA: Mtido no padro IEEE utilizado surante algum tempo pela indstria para evitar
problemas do WEP
- WPA2: Mtodo compatvel com 802.11i do IEEE
- PSK (Pr Shared Key): chave compartilhada entre dois dispositivos.
- EAP: Extensive Authentication Protocol
- Mtodos EAP
26
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
27
AP-BRIDGE
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Bridge ou ponte, um dispositivo que liga duas redes que usam protocolos distintos, ou dois
segmentos da mesma rede que usam o mesmo protocolo, por exemplo ethernet ou token ring.
Uma bridge ignora os protocolos utilizados nos dois segmentos que liga, j que opera a um
nvel muito baixo do modelo OSI (nvel 2); somente envia dados de acordo com o endereo do
pacote. Este endereo no o endereo IP (internet protocol) mas o MAC (media access
control) que nico para cada placa de rede. Os nicos dados que so permitidos atravessar
uma bridge so dados destinados a endereos vlidos no outro lado da ponte. Desta forma
possvel utilizar uma bridge para manter um segmento da rede livre dos dados que pertencem
a um outro segmento.
28
- D um clique duplo na interface habilitada
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Opo Radio Name: Coloque nessa opo o nome que voc deseja que o Rdio tenha na
rede.
- Opo Mode: AP Bridge
- Opo Band: Escolha a Banda de Operao desejada
- Opo Frequency: Canal de operao do equipamento
- Clique no boto OK
29
- Clique na guia Tx Power para escolher a potncia do carto, considerando:
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Obs: Verifique a potncia mxima permitida para o carto utilizado antes de fazer a alterao.
30
- Clique no Menu Bridge
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique em Adicionar
- Na guia General, na opo Name, digite um nome para a sua nova interface bridge. Em
nosso exemplo, manteremos o nome default: bridge1
- Clique no boto OK
31
- Clique na guia Ports
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique em Adicionar
- Na opo Interface, selecione a opo ether1
- Na opo Bridge, deixe como bridge1
- Clique no boto OK
32
- Clique na guia Ports, novamente
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
33
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no menu IP
- Clique na opo Addresses
Atribuir um IP a interface Bridge
34
- Clique no boto Adicionar
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Coloque o IP que voc deseja com os bits correspondentes (veja tabela na ltima imagem)
35
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
- Em Interface, escolha a bridge criada anteriormente.
36
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
37
RDIO 1
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
38
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Clique no boto OK
No campo Name, digite o nome da interface bridge (exemplo: wds-bridge)
39
- Clique na guia Ports
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
40
- Clique novamente em adicionar
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
Para que haja comunicao entre os dois equipamentos, um roteador deve ser configurado
como AP (station WDS) e o outro deve ser configurado como Station
41
CONFIGURAO DO AP (STATION WDS)
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
42
- Localize a guia WDS e clique nela
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
43
- Clique em adicionar
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
44
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
45
- Adicione o IP da interface Bridge
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no menu IP
- Clique na opo Addresses
- Clique em adicionar
- Digite o IP 10.0.0.215/24
- Em Interface, escolha a bridge criada (wds-bridge)
- Clique no boto OK
46
RDIO 2
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
47
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
- No campo Name, digite o nome da interface bridge (exemplo: wds-bridge)
48
- Clique na guia Ports
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
49
Clique novamente em adicionar
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
Para que haja comunicao entre os dois equipamentos, um roteador deve ser configurado
como AP (station WDS) e o outro deve ser configurado como Station
50
CONFIGURAO DO CLIENTE (BRIDGE)
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
51
- Localize a guia WDS e clique nela
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
52
Adicione o IP da interface Bridge
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no menu IP
- Clique na opo Addresses
- Clique em adicionar
- Digite o IP 10.0.0.216/24
- Em Interface, escolha a bridge criada (wds-bridge)
- Clique no boto OK
53
CONTROLE DE CLIENTES APENAS POR MAC
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
54
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
55
- Clique na guia Interfaces
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- D um clique duplo na interface que voc quer ativar o controle por MAC
- Na guia Wireless, desative as opes:
- Default Authenticate
- Default Forward (impede que os clientes se vem na interface)
- Clique no boto OK
56
CONTROLE DE BANDA Simple Queue
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
As Filas simples (Simple Queue) a meneira mais fcil de se controlar a velocidade dos
clientes. Elas permitem configurar as velocidades de upload e download com apenas uma
entrada.
57
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Bursts so usados para permitir altas taxas de dados por um curto perodo de tempo.
Os parmetros que controlam o Burst so:
- burst-limit: limite mximo que alcanar
- burst-time: tempo que durar o burst
- burst-threshold: patamar onde comea a limitar
- max-limit: MIR
Exemplo:
Max-limit=256kbps
Burst-time=8s
Burst-threshold=192kbps
Burst-limit=512kbps
58
- dado ao cliente inicialmente a banda burst-limit=512kbps. O algoritmo calcula a taxa mdia
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
A partir do momento que foi atingido o ponto de inflexo, o Burst desabilitado e a taxa
mxima do cliente passa a ser o max-limit
59
LIMITAO DE BANDA PARA P2P
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Para fazer a limitao de banda para P2P dever ser usado algumas regras utilizando o Firewall
e o Queue
FIREWALL
- Clique no menu IP
- Clique na opo Firewall
60
- clique na guia Mangle
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
61
- Clique na guia Action
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
62
- Clique novamente em Adicionar
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
63
- Clique na guia Action
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
64
QUEUE
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
65
- Clique novamente em Adicionar
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
66
REPETIDORA WIRELESS UTILIZANDO WDS
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Este exemplo mostra como configurar um repetidor wireless. O repetidor wireless estende a
escala de um WLAN existente em vez de adicionar mais pontos de acesso. Considere a
disposio da rede:
CASO 1
Conforme imagem acima, usaremos duas interfaces wireless (duas antenas) no router
repetidor. Os links WDS sero estabelecidos entre o 'Main gateway' e o 'repetidor ', e entre o
repetidor' e o 'AP1' (os usurios finais so conectados na omni do AP1).
CASO 2
Conforme esta outra imagem, usaremos duas interfaces wireless (duas antenas) no router
repetidor. Os links WDS sero estabelecidos entre o 'Main gateway' e o 'repetidor ', e entre o
repetidor' e o 'AP1', sendo que os usurios finais podero se conectar na antena omni da
repetidora e na antena omni do AP1.
67
Configurao do Equipamento 1 - Main Gateway
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
68
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
69
Configure a interface wireless, dando um clique duplo nela
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Enlace 1 = Canal 1
- Enlace 2 Canal 6
- Enlace 3 = Canal 11
- Clique no boto OK
70
- Clique na guia WDS
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
71
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
72
- Clique na guia WDS
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
73
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
- Clique em Adicionar
- Clique o Menu Bridge
74
- Clique na guia Ports
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique em Adicionar
- Em Interface, escolha a opo ether1
- Em Bridge, escolha a opo bridge1
- Clique no boto OK
75
- Clique em Adicionar
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
76
- Clique em Adicionar
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
77
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
78
- Clique em Adicionar
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
79
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
80
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
81
Configure a interface wireless wlan1, dando um clique duplo nela
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
82
- Clique na guia WDS
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
83
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
84
- Clique na guia WDS
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
85
Configure a interface wireless wlan2, dando um clique duplo nela no menu Interface.
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Para permitir que usurios finais se conectem a esta interface (utilizando antena omni ou
setorial, por exemplo, de acordo com o CASO 2 no incio deste manual) em Mode, escolha a
opo ap-bridge.
86
- Clique na guia WDS
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
87
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
88
- Clique na guia WDS
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
89
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
- Clique em Adicionar
- Clique o Menu Bridge
90
- Clique na guia Ports
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique em Adicionar
- Em Interface, escolha a opo ether1
- Em Bridge, escolha a opo bridge1
- Clique no boto OK
91
- Clique em Adicionar
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
92
- Clique em Adicionar
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
93
- Clique em Adicionar
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
94
- Clique em Adicionar
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
95
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
96
- Clique em Adicionar
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
97
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
98
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
99
Configure a interface wireless wlan1, dando um clique duplo nela
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
100
Clique na guia WDS
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
101
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
102
- Clique na guia WDS
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
103
Configure a interface wireless wlan2, dando um clique duplo nela no menu Interface.
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
104
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
- Clique em Adicionar
- Clique o Menu Bridge
105
- Clique na guia Ports
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique em Adicionar
- Em Interface, escolha a opo ether1
- Em Bridge, escolha a opo bridge1
- Clique no boto OK
106
- Clique em Adicionar
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
107
- Clique em Adicionar
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
108
- Clique em Adicionar
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
109
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
110
Clique em Adicionar
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
111
NAT
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
A estao com IP 192.168.1.13 faz uma requisio, por exemplo, para um endereo externo.
O pacote sai com o IP da estao e corre em direo ao intermediador entre ambiente interno
e externo, o gateway. O gateway, atravs do protocolo NAT mascara o IP da estao com seu
IP (200.158.112.126 - que vlido na internet) assim fazendo com que o pacote seja
entregue no destino solicitado pela estao. No retorno do pacote, ele parte do endereo
externo, chega a nossa rede no servidor NAT (200.158.112.126) e l volta ater o IP da
estao assim chegando estao (192.168.1.13).
Esta foi uma medida de reao face previso da exausto do espao de endereamento IP, e
rapidamente adaptada para redes privadas tambm por questes econmicas (no incio da
Internet os endereos IP alugavam-se, quer individualmente quer por classes/grupos).
Um computador atrs de um roteador gateway NAT tem um endereo IP dentro de uma gama
especial, prpria para redes internas. Como tal, ao aceder ao exterior, o gateway seria capaz
de encaminhar os seus pacotes para o destino, embora a resposta nunca chegasse, uma vez
que os roteadores entre a comunicao no saberiam reencaminhar a resposta (imagine-se
que um desses roteadores estava includo em outra rede privada que, por ventura, usava o
mesmo espao de endereamento). Duas situaes poderiam ocorrer: ou o pacote seria
indefinidamente (1) reencaminhado, ou seria encaminhado para uma rede errada e jogado fora.
(1)
na verdade, existe um tempo de vida para os pacotes IP serem reencaminhados.
112
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no menu IP
- Clique na opo Firewall
Configurando o NAT no Mikrotik:
113
- Clique na guia NAT
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
114
- Clique na guia Action
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
- Clique no boto OK
115
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
116
LIMITAR CONEXES POR IP
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Esta opo utilizada para limitar as conexes dos clientes conectados ao Mikrotik.
117
- Clique na guia Filter Rules.
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
118
- Clique na guia Advanced
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
119
- Clique na guia Extra
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
120
- Clique na guia Action
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto Ok
121
DESABILITAR E HABILITAR CONEXES P2P
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Voc pode criar uma regra do Firewall e usar Scripts para habilitar ou desabilitar essa regra
com apenas um clique.
- Clique no menu IP
- Clique na opo Firewall
122
- Clique em Adicionar
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
123
- Clique na guia Action
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
- Clique no boto OK
124
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Criando Scripts
125
- Clique em Adicionar
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
126
- Clique em Adicionar, novamente
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no boto OK
127
- Se voc clicar no Script Liberar_P2P e clicar no boto Run Script, de acordo com o script,
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
128
- Se voc clicar no Script Parar_P2P e clicar no boto Run Script, de acordo com o script, a
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
129
FAZENDO BACKUP E RESTAURANDO O BACKUP
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
BACKUP
- Clique no menu Files
- Para fazer o Backup, clique no boto backup
130
- O mikrotik ir gerar o backup dos arquivos em um arquivo com a extenso .backup.
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Observao: recomendvel que o arquivo seja copiado para algum lugar fora do
Mikrotik. No caso do Windows, selecione o arquivo .backup, clique no boto
copiar. No Windows Explorer, cole em sua pasta de preferncia.
131
RESTAURANDO O BACKUP
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
132
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no menu IP
- Clique na opo ARP
ATRELANDO IP AO MAC
133
- Clique em Adicionar
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
MAC.
- Na guia General, na opo ARP, escolha a opo reply-only
- Clique no boto OK
135
HOTSPOT
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Hotspot um termo utilizado para se referir a uma rea pblica onde est disponvel um
servio de acesso a Internet, normalmente atravs de uma rede sem fio Wi-Fi. Aplicaes
tpicas incluem o acesso em Hotis, Aeroportos, Shoppings, Universidades, etc.
O conceito Hotspot pode ser usado, no entanto, para dar acesso controlado a uma rede
qualquer, com ou sem fio, atravs de autenticao baseada em nome de usurio e senha.
Quando em uma rea coberta por um Hotspot, um usurio que possua um Laptop e tente
navegar pela WEB arremetido para uma pgina do Hotspot que pede suas credenciais,
normalmente usurio e senha. Ao fornec-las e sendo um cliente autorizado pelo Hotspot o
usurio ganha acesso internet, podendo sua atividade ser controlada e bilhetada.
136
Primeiramente devemos habilitar as interfaces e configurar a interface que ser o hotspot.
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
137
- D um clique duplo na interface habilitada
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
138
- Clique na guia Tx Power para escolher a potncia do carto, considerando:
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Obs: Verifique a potncia mxima permitida para o carto utilizado antes de fazer a alterao.
139
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
140
Devemos definir o Gateway de sada para a internet
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no menu IP
- Clique na opo Routes
141
- Clique em Adicionar
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
142
Se voc possuir um Certificado de Segurana, faa a transferncia dele para o Mikrotik atravs
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
O QUE SSL?
SSL ( Secure Sockets Layer) uma tecnologia de segurana que comumente
utilizada para codificar os dados trafegados entre o computador do usurio e o um
website. O protocolo SSL, atravs de um processo de criptografia dos dados,
previne que os dados trafegados possam ser capturados, ou mesmo alterados no
seu curso entre o navegador (browser) do usurio e o site com o qual ele est se
relacionando, garantindo desta forma informaes sigilosas como login e senha,
neste nosso caso.
143
O prximo passo ser fazer a importao do Certificado
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
144
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
145
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique no menu IP
- Clique na opo Hotspot
146
- Clique no boto Setup
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
147
- No campo Local Address of Network aparecer o IP da interface escolhida.
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
148
- No campo Address Pool of Network aparecer o pool dos IPs que sero distribudos aos
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
149
- Na opo Select Certificate escolha o certificado importado anteriormente. Caso voc no
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
150
- Na opo IP Address of SMTP Server, digite o IP de seu Servidor SMTP, se desejar.
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
151
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
152
- Na opo DNS Name, D o nome do DNS (aparecer no Browser dos clientes ao invs do
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
IP).
- Clique no boto Next
153
- Na tela seguinte, por default, cadastrado o usurio Administrador (admin).
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Embora tenha sido uma configurao fcil e rpida, o Mikrotik se encarregou de fazer o
trabalho pesado, criando as regras apropriadas no Firewall, bem como uma fila especfica para
o Hotspot.
154
DETALHES DA CONFIGURAO
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
155
HOTSPOT SERVER PROFILES
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
156
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Login By
- MAC - Tenta usar o MAC dos clientes primeiro como nome de usurio. Se existir na
tabela de usurios local ou em um Radius, o cliente liberado sem login/senha;
- HTTP CHAP - Usa mtodo CHAP Mtodo criptografado;
- HTTP PAP - Usa autenticao como texto plano pode ser sniffado facilmente;
- Cookie - Usa http cookies para autenticar sem pedir as credenciais. Se o cliente ainda
no tiver um cookie ou tiver expirado, usa outro mtodo;
- HTTPS - Usa tnel SSL criptografado. Para isso funcionar, um certificado vlido deve
ser importado para o roteador.
- Trial - No requer autenticao por um certo perodo de tempo.
157
Utilizao de Servidor Radius para autenticao do Hotspot
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Location ID
Pode ser atribudo aqui ou no servidor Radius Normalmente deixar em branco
- Location Name
Pode ser atribudo aqui ou no servidor Radius Normalmente deixar em branco
- Accounting
Se habilitado, faz a bilhetagem dos usurios, com histrico de logins, desconexes, etc.
- Interim Update
Freqncia de envio de informaes de accounting (segundos)
0 assim que ocorre o evento
(Gera trfego Interessante que coloque 30 ou 60s)
- NAS Port Type
Wireless, Ethernet ou Cabo
158
HOTSPOT USER PROFILES
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
O user profiles servem para dar tratamento diferenciado a grupos de usurios, como, por
exemplo, usurios coorporativos, usurios residenciais, etc.
159
Com a opo Advertise possvel enviar, de tempos em tempos, pop-ups para os usurios do
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Hotspot
- Advertise URL
Lista das pginas que sero anunciadas. A lista cclica, ou seja, quando a ltima mostrada,
comea-se novamente pela primeira.
- Advertise Interval
Intervalos de exibio dos pop-ups. Depois da seqncia terminada, usa sempre o ltimo
intervalo. No exemplo, so mostradas a cada 15 minutos, 2 vezes e depois a cada 30 minutos
- Advertise Timeout
Quanto tempo deve esperar para o anncio ser mostrado, antes de bloquear o acesso rede
com o Walled-Garden
- pode ser configurado um tempo (default = 1 minuto)
- nunca bloquear
- bloquear imediatamente
160
O Mikrotik possui uma linguagem interna de scripts que podem ser adicionados para serem
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
No hotspot possvel criar scripts que executem comandos a medida que um usurio desse
perfil se conecta ou se desconecta do Hotspot
161
Devemos, agora, cadastrar os usurios que tero permisso para se conectar ao Hotspot.
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
162
- Clique na Guia limits
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Campo Limit Uptime: Total de tempo que o usurio pode usar o Hotspot. til para
fazer acesso pr-pago.
Sintaxe: hh:mm:ss.
Default: 0s Sem limite
- Campo Limit Bytes In: Total de bytes que o usurio pode transmitir (bytes que o
roteador recebe para o usurio).
- Campo Limit Bytes Out: Total de bytes que o usurio pode receber (bytes que o
roteador transmite para o usurio).
Se um usurio tem o endereo IP especificado, somente poder haver 01 (um) logado. Caso
outro entre com o mesmo usurio/senha, o primeiro ser desconectado.
163
WALLED GARDEN (JARDIM MURADO)
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Para implementar o Walled Garden para requisies http, existe um Web Proxy embarcado no
Mikrotik, de forma que todas as requisies de usurios no autorizados passem de fato por
esse Proxy.
Observar que o Proxy embarcado no tem as funes de fazer cache, pelo menos por ora.
Notar, tambm, que esse Proxy embarcado faz parte do pacote system e no requer o pacote
web-proxy.
importante salientar que o Walled Garden no se destina somente a servios WEB, mas
qualquer servio que queiramos configurar. Para tanto, existem 2 menus distintos que so
apresentados abaixo, sendo que o primeiro destina-se somente para HTTP e HTTPS e o da
segundo para os outros servios e protocolos.
164
Walled Garden para outros protocolos
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
165
PERSONALIZANDO O HOTSPOT
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
Alm disso, possvel criar conjuntos totalmente diferentes das pginas do Hotspot para
vrios perfis de usurios especificando diferentes diretrios html raiz na opo html-directory
em Hotspot Profile.
Essa possibilidade, associada a criao de Aps virtuais possibilita que, em uma mesma rea
pblica o detentor de infra-estrutura possa, de forma transparente, servir a vrios operadores,
utilizando os mesmos equipamentos.
166
Voc pode redirecionar todo o trfego atravs de seu Router para o seu prprio Servidor de E-
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
mail.
- Clique no Menu IP
- Clique na opo Firewall
167
- Clique na guia NAT
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
- Clique em Adicionar
- Na guia General, na opo Chain, escolha a opo dstnat
- Na opo Protocol, escolha TCP
- Na opo Dst. Port., escolha a porta 25
168
- Clique na guia Action
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
169
Referncias:
PROIBIDA a cpia total ou parcial deste guia exclusivo de referncia, sem autorizao do autor.
170