MikroTik RB 3011 UiAS-RM

Guia de configuração do equipamento para a rede da K2ON. É importante primeiramente

lembrar de que caso ocorra reset para as configurações de fábrica, ao realizar o primeiro acesso
o MikroTik já possuirá algumas configurações nativas, porém, ele vai te dar a opção de zerar
tudo e deixar ele sem configuração nenhuma. DEVEMOS REALIZAR ESTA LIMPEZA DE
CONFIGURAÇÕES SEMPRE. Configurações atuais:

MAC Address Porta 1 - C4:AD:34:5F:0A:A5

MAC Address Porta 2 - C4:AD:34:5F:0A:A6
MAC Address Porta 3 - C4:AD:34:5F:0A:A7
MAC Address Porta 4 - C4:AD:34:5F:0A:A8
MAC Address Porta 5 - C4:AD:34:5F:0A:A9

Porta 1 - WAN1
Porta 2 - WAN2
Portas 3 a 5 - LAN
Portas 6 a 10 - não configuradas

Etapa 1: Configuração do cliente DHCP na interface WAN

Os modens de ambas as operadoras fornecem IP via DHCP para os clientes conectados, como a
conexão não possui IP fixo, o MikroTik fica na dependência de receber IP destes equipamentos
para correto funcionamento da internet. Segue passo-a-passo:

- Faça login no MikroTik com privilégios administrativos utilizando o programa Winbox

- Vá no menu IP > DHCP Client e uma nova janela irá abrir. Clique no sinal de “mais” (+) e uma
janela de configuração de novos clientes DHCP irá aparecer.

- Selecione a interface que será utilizada para receber internet, no caso da K2ON, ETH1 para o
link principal e ETH2 para o link secundário. Estes procedimentos devem ser utilizados uma vez
para cada interface.

- Marque as opções Use Peer DNS, Use Peer NTP e selecione Add Default Route no menu que
estará abaixo.

- Clique em Apply e depois em OK

Etapa 1.1: Configuração da Interface WAN no caso de seu link for dedicado e com IP fixo
No caso de sua conexão receber IP Fixo da operadora, configuraremos o IP no MikroTik,
viabilizando assim a possibilidade de conexões externas, como VPN por exemplo. Antes de
seguir estes passos, lembre-se de ir no menu IP > DHCP Client, e desabilitar o cliente DHCP nas
interfaces onde configuraremos IP Fixo da WAN.

- Vá no menu IP > Addresses e clique no sinal de mais (+).

- Preencha com IP da Internet fornecido pelo seu provedor, juntamente a máscara de rede
também fornecida pelo provedor (exemplo: 117.248.57.198/29). Desta maneira, a opção
abaixo, Network, será automaticamente pela máscara de rede correspondente. Clique em Apply
e depois em OK
- Em seguida, vá no menu IP > Routes e clique no sinal de mais (+). Deixe o campo Destination
como 0.0.0.0 e em Gateway preencha com o endereço fornecido pelo seu provedor (exemplo:
117.248.57.190). Clique em Apply e depois em OK

- Vá no menu IP > DNS e em Servers preencha os endereços fornecidos pelo seu provedor de
internet, para adicionar mais campos de endereço, basta clicar na setinha apontando para baixo.
Clique em Apply e depois em OK

Etapa 2: Configuração de ponte de portas (Bridge) para distribuir DHCP

As portas de ETH3 a ETH5 estão configuradas para distribuir o mesmo DHCP na rede, eliminando
assim a necessidade de cascatear switch pois será possível ligar cada um diretamente em uma
destas portas. Segue passo-a-passo:

- Vá no menu Bridge, clique no sinal de “mais” (+) e uma nova janela irá abrir.

- Coloque o nome do bridge que está sendo criado, neste caso, utilizei o nome bridge_LAN.
Clique em Apply e depois OK.

- Vá na aba Ports e clique ni sinal de “mais” (+). Selecione em Interface a porta que será utilizada
e em Bridge, a bridge que acabamos de criar. Repita o processo para cada porta que for utilizar.

Etapa 3: Configurando NAT para acesso da LAN a internet

Importante: Essa configuração só será necessária se as configurações de NAT não aparecerem
automaticamente. Sem elas, as máquinas não irão navegar.

- Vá no menu IP > Firewall e clique em NAT, em seguida, no sinal de “mais” (+) para abrir a tela
de configuração de nova Regra de NAT.

- Selecione srcnat na primeira opção (Chain)

- Na opção Out. Interface selecione eth1

- Vá na aba Action e no menu da primeira opção selecione masquerade.

- Clique em Apply e depois OK.

- Repita o processo para a interface eth2.

Etapa 4: Configuração do DHCP Server

Nesta etapa, iremos configurar o servidor DHCP, para acessos das máquinas clientes a rede. O
DHCP da K2ON é no range 192.168.0.0/24.

- Vá no menu IP > DHCP Server > DHCP Setup.

- Em DHCP Server Interface selecione a bridge que foi criada na etapa 2 e clique em Next.

- Em DHCP Address Space coloque o range de IP 192.168.0.0/24

- Deixe o Gateway e o DHCP Relay como 192.168.0.1

- Em Address to Give Out preencha como 192.168.0.100-192.168.0.200

- Em DNS, clique na setinha preta apontando para baixo para criar 3 novas entradas, e preencha
o primário como 192.168.0.2, secundário 192.168.0.1, e os 2 últimos como 8.8.8.8 e 8.8.4.4
- Lease Time pode ser deixado como padrão, e por fim, é só clicar em Next para concluir.

Etapa 5: Configuração da VPN com protocolo SSTP

A VPN via protocolo SSTP é compatível apenas com Windows 10 e posteriores, é um protocolo
da Microsoft considerado seguro e criptografado, onde não ocorre risco de perda de dados. Para
isso iremos criar no MikroTik o certificado TLS, habilitar e configurar o server SSTP, e por fim,
criar os usuários SSTP. O Servidor SSTP exige 2 certificados: Certificado CA (Certification
Authority) e o Certificado de Servidor.

5.1: Criando o certificado CA

- Vá no menu System > Certificates, clique na aba Certificates e no sinal de “mais” (+) para abrir
a janela de criação de novo certificado.

- Preencha no campo Name o nome que deseja dar ao certificado.

- No campo Common Name preencha com o IP da internet.

- Os demais campos não são de preenchimento obrigatório, mas podem ser preenchidos se
quiser.

- Vá na aba Key Usage e marque as opções crl sign e key cert.sign

- Clique em Apply e depois em Sign. Uma nova janela irá abrir, selecione o certificado que
acabamos de criar.

- Preencha o endereço de IP da sua Internet no campo CA CRL Host. Clique no botão Sign e seu
certificado será criado em alguns segundos.

- Clique no botão OK para fechar a janela.

- Se o certificado não tiver a flag T ou Trusted nas propriedades, dê 2 cliques nele e marque a
caixa Trusted no final da aba General, depois clique em Apply e OK.

5.2: Criando certificado do servidor

O certificado do servidor será usado pelo SSTP Server e é assinado e validado pelo certificado
CA criado anteriormente.

- Vá no menu System > Certificates, clique na aba Certificates e no sinal de “mais” (+) para abrir
a janela de criação de novo certificado.

- Preencha no campo Name o nome que deseja dar ao certificado.

- No campo Common Name preencha com o IP da internet.

- Se você preencheu algum dos campos opcionais na etapa anterior, preencha aqui também.

- Vá na aba Key Usage e marque as opções digital signature, tls server e key encipherment.

- Clique em Apply e depois em Sign. Uma nova janela irá abrir, selecione o certificado que
acabamos de criar.

- Selecione também o certificado CA do menu CA

- Clique no botão Sign e seu certificado será criado em alguns segundos.

- Clique no botão OK para fechar a janela.

- Se o certificado não tiver a flag T ou Trusted nas propriedades, dê 2 cliques nele e marque a
caixa Trusted no final da aba General, depois clique em Apply e OK.

5.3: Exportando Certificados CA

O servidor SSTP usará o certificado do servidor do armazenamento de certificados do MikroTik
RouterOS. Mas o certificado CA deve ser fornecido ao Cliente SSTP. Portanto, precisamos
exportar o certificado CA do armazenamento de certificados do RouterOS. As etapas a seguir
mostrarão como exportar o certificado CA do armazenamento de certificados MikroTik.

- Selecione e clique com o botão direito do mouse no certificado CA e clique na opção EXPORT.
A janela EXPORT aparecerá.

- Escolha o certificado CA no menu Certificado.

- Clique no botão EXPORT. Seu certificado CA será exportado e a janela será fechada.

O certificado CA exportado será encontrado na janela File List do Winbox. Temos que baixar
este certificado CA para usar nos dispositivos clientes. As etapas a seguir mostrarão como fazer
download do arquivo de certificado CA exportado do diretório Arquivo.

- Clique no menu Files e você verá um arquivo com extensão .crt listada

- Clique e arraste este certificado para seu Desktop. Não iremos instalar o certificado agora.

5.4: Configuração do Servidor SSTP no MikroTik

Depois de criar o certificado CA, podemos já criar o SSTP Server no MikroTik, seguindo os
seguintes passos:

- Clique no item de menu PPP do Winbox e, a seguir, clique na guia Interface.

- Clique no botão SSTP Server. A janela do servidor SSTP aparecerá.

- Clique na caixa de seleção Enabled para habilitar o Servidor SSTP.

- Certifique-se de que a porta TCP 443 esteja atribuída no campo de entrada Port.

- Em Autenticação, desmarque todas as caixas de seleção, exceto a caixa de seleção mschap2.

- No menu suspenso Certificado, escolha o certificado do servidor que criamos antes.

- No menu TLS Version, escolha a opção only-1.2. A versão TLS any também pode ser
selecionada.

- Agora clique nas caixas de seleção Force AES e PFS.

- Agora clique no botão Apply e OK.

5.5: Criando usuários SSTP

Como o acesso a VPN é através de usuário e senha para validar uma conexão segura, iremos
criar os usuários:

- No Winbox, vá no menu IP > Pool. A janela IP Pool aparecerá.

- Clique no SINAL DE MAIS (+). A janela New IP Pool aparecerá.

- Coloque um nome qualquer para o pool de IP da VPN, por exemplo: vpn_pool

- Coloque os intervalos de IP desejados (exemplo: 192.168.2.2-192.168.2.254) no campo de
entrada de endereços. Certifique-se de não usar o IP do gateway VPN (192.168.2.1) neste
intervalo.

- Agora clique no botão Apply e OK.

5.6: Configuração de perfil de usuário

Depois de criar IP Pool, iremos configurar o perfil do usuário para que todos os usuários possam
ter características semelhantes. As etapas a seguir mostrarão como configurar o perfil do
usuário para usuários SSTP:

- No Winbox, vá no menu PPP e clique na guia Profile e, em seguida, clique no SINAL DE MAIS
(+). A janela do New PPP Profile será exibida.

- Defina um nome (exemplo: vpn_profile) no campo de entrada Name.

- Coloque o endereço do gateway VPN (exemplo: 192.168.2.1) no campo de entrada Local

Address.

- Escolha o IP Pool criado anteriormente (vpn_pool) no menu suspenso Remote Address.

- Clique em Apply e depois OK.

5.7: Configuração de Usuário SSTP

Depois de criar o perfil do usuário, iremos criar usuários que serão conectados ao servidor SSTP.
As etapas a seguir mostrarão como criar usuários SSTP no MikroTik RouterOS.

- Na janela PPP, clique na guia Secrets e depois em SINAL DE MAIS (+). A janela do New PPP
Secret será exibida.

- Coloque o nome de usuário (por exemplo: vpnuser) no campo Name e coloque a senha no
campo de entrada Password.

- Escolha SSTP no menu suspenso Service.

- Escolha o perfil criado no menu suspenso Profile.

- Clique em Apply e depois OK.

Criamos um usuário para o servidor SSTP. Da mesma forma, podemos criar mais usuários de que
necessitamos. A configuração do servidor SSTP no roteador MikroTik foi concluída. Na próxima
parte, iremos configurar o cliente SSTP no sistema operacional Windows 10.

Etapa 6: Configuração do Cliente SSTP no Windows 10

Após configurar o servidor SSTP no roteador MikroTik, iremos agora configurar o cliente SSTP
no sistema operacional Windows 10. A configuração do cliente SSTP no Windows 10 pode ser
dividida nas duas etapas a seguir:

- Instalando Certificado CA no Windows 10

- Configuração do cliente SSTP no Windows 10

6.1: Instalando Certificado CA no Windows 10
O Certificado CA exportado deve ser instalado nas Autoridades de Certificação Raiz Confiáveis
do Windows, caso contrário, o Cliente SSTP não poderá verificar o Certificado do Servidor SSTP.
Para instalar o Certificado CA no Windows 10, execute as seguintes etapas.
Clique com o botão direito do mouse no Certificado CA Exportado e escolha a opção Instalar
Certificado.

Agora você encontrará a janela Assistente para importação de certificados e ele solicitará a
escolha do local de armazenamento do certificado. Na próxima tela, escolha a opção Máquina
Local e clique no botão Avançar.

A próxima janela solicitará a escolha de um armazenamento de certificado específico. A CA

exportada deve ser colocada no armazenamento de Autoridades de certificação raiz confiáveis.
Portanto, clique no botão de opção Colocar Todos os Certificados no Seguinte Repositório e,
em seguida, clique no botão Procurar e escolha Autoridades de Certificação Raiz Confiáveis e
clique no botão Avançar.

A próxima tela mostrará um resumo e pedirá para clicar no botão Concluir. Clique para concluir
e você encontrará uma mensagem de sucesso da importação do certificado.

6.2: Configuração do cliente VPN no Windows 10

Depois de importar o certificado CA em Autoridades de certificação raiz confiáveis, agora
configuraremos o cliente SSTP no sistema operacional Windows 10. As etapas a seguir mostram
como configurar o Cliente SSTP no Windows 10 OS.

- No Windows 10, clique no ícone do menu Iniciar e, em seguida, clique em Configurações A

janela Configurações do Windows aparecerá.

- Na janela de configurações do Windows, clique em Rede e Internet

- Na janela Rede e Internet, clique no item de menu VPN no painel esquerdo e, a seguir, clique
em Adicionar uma conexão VPN.

- Na opção Provedor VPN, escolha Windows (interno).

- Coloque um nome de conexão VPN (exemplo: VPN SSTP) no campo de entrada Nome da
Conexão.

- Coloque o IP da Internet no campo Nome ou Endereço do Servidor.

- No menu suspenso Tipo de VPN, selecione a opção Secure Socket Tunneling Protocol (SSTP).

- No menu suspenso Tipo de informações de entrada, selecione a opção Nome de usuário e

senha.

- Nos campos onde pede nome de usuário e senha, preencha com as informações de usuário
criadas no MikroTik, PPP > Secrets.

- Clique no botão Salvar. Um novo cliente VPN (exemplo: VPN SSTP) aparecerá agora na lista
VPN.
Clique no Cliente VPN que apareceu e depois clique no botão Conectar que apareceu. Se tudo
estiver OK, sua VPN estará conectada e agora você poderá obter recursos de rede remota
através da rede pública através do canal seguro TLS.

Importante: Não tente conectar a SSTP VPN Client no Windows 7 com certificado auto-assinado
porque o Windows 7 tem alguns bugs para funcionar com SSTP VPN. Mas o Windows 8 e o
Windows 10 não têm problemas com SSTP VPN.