CITRAIT

Excelência em TI

DOCUMENTO: POP-SUP-1002
PROCEDIMENTO: CONFIGURAÇÃO PADRONIZADA MIKROTIK
 SUMÁRIO
1. CONTROLE DE REVISÕES ....................................................................................................... 3
2. INTRODUÇÃO ........................................................................................................................ 3
3. JUSTIFICATIVA ....................................................................................................................... 3
4. PRIMEIRO ACESSO PÓS INSTALAÇÃO .................................................................................... 3
5. PRIMEIRO ACESSO AO ROUTER USANDO O PROGRAMA WINBOX ...................................... 3
6. CRIANDO UM NOVO ADMIN ................................................................................................. 4
7. ADICIONAR DESCRIÇÃO NAS INTERFACES ETHERNET........................................................... 5
8. AGRUPAR AS INTERFACES WAN EM UMA INTERFACE LIST .................................................. 6
9. CONFIGURAÇÃO DO SERVIDOR DHCP................................................................................... 7
10. CONFIGURAR AS INTERFACES DE REDE............................................................................. 9
11. ADICIONANDO ROTAS PARA INTERNET .......................................................................... 10
12. CONFIGURANDO AS REGRAS DE FIREWALL .................................................................... 13
13. CONFIGURANDO O MASQUERADE DE SAÍDA ................................................................. 13
14. CONFIGURANDO REGRA PARA FLUXO DE CONEXÕES JÁ ESTABELECIDAS ..................... 13
15. CONFIGURANDO REGRA PARA PERMITIR NAVEGAÇÃO WEB......................................... 14
16. CONFIGURANDO REGRA PARA PERMITIR CONSULTA DNS NA INTERNET ...................... 14
17. CONFIGURANDO REGRA PARA PERMITIR PING NA INTERNET ....................................... 14
18. CONFIGURANDO REGRA PARA PERMITIR ACESSO REMOTO AO MIKROTIK ................... 15
19. CRIANDO REGRA PARA PERMTIR A REDE LAN SE CONECTAR AO MIKROTIK.................. 16
20. LIBERANDO CONEXÃO INICIADA PELO FIREWALL PARA QUALQUER DESTINO .............. 16
21. CRIANDO REGRAS DE REDIRECIONAMENTO DE PORTAS (NAT) ..................................... 16
22. CRIANDO REFLEXÃO DO NAT UMA ÚNICA VEZ ............................................................... 17
23. CRIAR A REGRA DE BLOQUEIO DE TRÁFEGO NÃO EXPLÍCITAMENTE LIBERADO ............ 17
24. ANEXO I – COMANDOS COMUNS DE EXECUTAR NO TERMINAL .................................... 18
1. CONTROLE DE REVISÕES

Versão Data Responsável Obs.:

1.0 27/06/2023 Luciano Versão inicial

2. INTRODUÇÃO

Este documento foi produzido com intuito de padronizar a instalação do roteador Mikrotik em
nossos clientes, de forma simplificada. O objetivo não é cobrir toda a configuração do início ao
fim, mas prover a configuração de modo similar em todas as instalações de modo a facilitar a
gestão, manutenção e pós operação.

3. JUSTIFICATIVA

A instalação e configuração do roteador mikrotik por diferentes técnicos tem sido um problema
para a administração, pois, sem o procedimento padronizado, cada técnico realiza a instalação
baseada em seu próprio conhecimento e experiência. O viés diversificado tem criado dificuldade
na administração dos roteadores espalhados em diversos clientes. Necessita-se criar um
procedimento padronizado que cubra de forma linear os procedimentos de instalação e
operação comuns do roteador, de forma a possibilidades que técnicos diversos possam realizar
os ajustes em cada equipamento sem maior dificuldade e usando um roteiro comum.

4. PRIMEIRO ACESSO PÓS INSTALAÇÃO

Conecte um cabo da rede local à uma das portas do mikrotik, preferencialmente a primeira
porta.

5. PRIMEIRO ACESSO AO ROUTER USANDO O PROGRAMA WINBOX

O roteador Mikrotik permite uma primeira conexão facilitada através do utilitário chamado
winbox, que é o programa utilizado para configuração do mikrotik. Para download do winbox,
acesse este link, escolha a versão 32 ou 64 bits e clique em download.

Após ter realizado o download o winbox, basta executá-lo com dois cliques. Na primeira tela, na
aba neightbors, clique sobre o endereço MAC do Mikrotik, preencha login e deixe a senha em
branco, agora clique em Conectar.
Imagem: Tela do winbox para conectar-se inicialmente ao Mikrotik via endereço MAC já que a
placa de rede ainda não foi configurada.

Após a conexão bem-sucedida, será solicitado que seja alterado a senha do usuário admin.

6. CRIANDO UM NOVO ADMIN

Como medida básica de segurança, o uso de contas com nomes comuns (admin, system, root)
são desencorajadas na administração do roteador. Para resolver esta questão, execute as etapas
abaixo:

 Crie uma nova conta (preferencialmente com o nome da empresa).

 Faça logoff do usuário admin.
 Acesse com a nova conta criada.
 Apague a conta admin.
Imagem: Criação de outro usuário com poderes de admin no mikrotik. Repare que este novo
usuário deve fazer parte do grupo full para ter poderes de administração.

7. ADICIONAR DESCRIÇÃO NAS INTERFACES ETHERNET

Dar descrições sucintas nas interfaces ethernet permite uma rápida identificação quando as
interfaces precisarem ser selecionadas em outras telas.

Adicionar descrição às interfaces ethernet, descrevendo seu papel no roteador

(WAN/LAN/MPLS/OPERADORA/ETC).

Imagem: Descrição atribuída a cada interface Ethernet no roteador Mikrotik.

8. AGRUPAR AS INTERFACES WAN EM UMA INTERFACE LIST

O agrupamento de interfaces de mesma função (como por exemplo o agrupamento de redes

internas, ou de links de internet, ou de VPNs) permite economizar na quantidade de regras que
serão posteriormente criadas.

Crie uma Interface List com nome ALL_WAN para agrupar as interfaces de link de internet
(exemplo ether1 e ether2). Vá em Interfaces -> Interface List -> Lists -> Add.

Imagem: Criação de uma INTERFACE LIST. Repare que primeiro é necessário criar a lista para
somente então associar os adaptadores ethernet a ela.

Na tela Interfaces -> Interface List clicar em Adicionar e inserir as interfaces na lista ALL_WAN.

Imagem: Associando uma interface com a INTERFACE LIST “ALL_WAN” criada anteriormente.
9. CONFIGURAÇÃO DO SERVIDOR DHCP

Para a comunicação em rede IP, as máquinas e dispositivos precisam estar devidamente

configurados para usarem um endereço IP. Quanto aos dispositivos da rede interna, estes
podem ser configurados com endereços IPs de forma manual (atribuído diretamente na placa
de rede) ou podem estar configurados para obter um endereço IP durante o Boot e ir renovando
este endereço conforme o uso. Para o segundo caso, iremos configurar o Mikrotik como um
servidor DHCP que irá emprestar endereços IPs a partir de um range (pool) configurado.

Criar um pool de endereços com o range de IPs que serão distribuídos (IP -> Pool):

Imagem: Tela de cadastro de um novo pool, no qual chamaremos de pool_dhcp_lan e terá

disponíveis para empréstimo no DHCP os endereços começando com 192.168.254.100 até
192.168.254.254.
Crie uma nova network na configuração de DHCP (IP -> DHCP Server -> Network).

Imagem: Criação de uma nova Network, que corresponderá com os dados da rede interna na
qual o Mikrotik ficará responsável por distribuir IPs para as máquinas, celulares e outros.

Agora adicione um novo DHCP SERVER (IP -> DHCP Server -> DHCP ).

Certifique-se de alterar o tempo de empréstimo do IP para algo bem maior que os 10 minutos
padrão. Como sugestão, em pequenas redes, use 23:59:00 que corresponde a 1 dia.

Imagem: Tela de criação de um novo servidor DHCP, no qual ficará responsável por distribuir
endereços IPs na interface de rede local (ether3 no exemplo acima). Repare que o pool
anteriormente criado foi manualmente selecionado no campo Address Pool.
10. CONFIGURAR AS INTERFACES DE REDE

Nesta etapa iremos configurar as interfaces de rede. Repare que aqui estamos usando o
exemplo no qual o Modem está roteado, isto é, o próprio modem faz a discagem de internet e
fica com o IP público atribuído em sua interface WAN, e cria uma rede intermediária (privada)
com o roteador Mikrotik. Nestes casos, deve-se amarrar o MAC da interface do Mikrotik na
configuração de DHCP estático do modem (reservar o endereço IP) e também atribuir um IP
manualmente no Mikrotik. E claro, atribuir este IP do Mikrotik como destino DMZ no modem.

Adicione um novo endereço para a interface LAN (IP -> Addresses):

Imagem: Atribuição manual de um novo endereço IP à interface LAN.

Adicione um novo endereço para a interface WAN-1 (IP -> Addresses):

Imagem: Atribuição de um endereço IP para uma interface Ethernet.

Adicione um novo endereço para a interface WAN-2 (ip->adresses):

Imagem: Atribuição de um endereço IP para uma interface Ethernet.

11. ADICIONANDO ROTAS PARA INTERNET

Nesta etapa iremos configurar as rotas recursivas de maneiras a permitir a detecção de um link
fora do ar através do ping aos endereços 1.1.1.1 e 8.8.8.8, cada um associado a uma interface.

Adicione uma nova rota com destino 1.1.1.1/32 usando o IP do gateway na primeira interface,
com distancia 1, escopo 30 e target-scope 10 (IP -> Route -> Add):

Imagem: adição de uma rota recursiva usando o endereço 1.1.1.1 como alvo.
Agora adicione uma nova rota com destino 0.0.0.0/0 com gateway 1.1.1.1, distância 10, escopo
30 e target scope 30. Atente para marcar Check Gateway como Ping.

Imagem: Adição de uma rota recursiva, desta vez o destino é a internet e será usado o gateway
1.1.1.1 definido anteriormente.

Agora vamos configurar a Rota do 2º link.

Adicionar uma nova rota com destino 8.8.8.8/32 com gateway o ip do segundo gateway, com
distancia 1, scopo 30 e target-scope 10.
Agora adicione a nova rota com destino 0.0.0.0/0 usando o gateway 8.8.8.8 com distancia 20,
scope 30 e target scope 30. Repare que com a distância 20 este link será o backup.

Imagem: Adição da rota recursiva para o segundo link. Pode parecer estranho usar o endereço
8.8.8.8 como endereço do gateway, mas é justamente desta maneira que vamos conseguir
detectar quando o link estiver com problema de rota na operadora e não puder alcançar o host
8.8.8.8.
12. CONFIGURANDO AS REGRAS DE FIREWALL

Por padrão o mikrotik vem permitindo tudo com uma regra implícita de allow input, allow
forward e allow output.

Entretanto não vem configurado com nenhum masquerade, o que indica que apesar de liberado
o forward, não será possível as máquinas internas navegarem na internet.

Nosso objetivo na configuração inicial das regras será:

 Bloquear conexões não explicitamente liberadas.

 Liberar conexões da rede LAN com o mikrotik.
 Liberar navegação na internet nas portas 80 e 443.
 Liberar Ping para a internet.
 Liberar consultas DNS na internet.
 Permitir administração remota para os IPs externos confiáveis.
 Criar encaminhamentos de portas.

13. CONFIGURANDO O MASQUERADE DE SAÍDA

Adicionar uma regra de firewall em IP -> Firewall -> NAT da seguinte maneira:

Chain srcnat
Out. Interface List ALL_WAN
Action masquerade
Comment --DEFAULT WAN MASQUERADE

14. CONFIGURANDO REGRA PARA FLUXO DE CONEXÕES JÁ ESTABELECIDAS

Crie uma nova regra da seguinte maneira:

Chain Forward
Connection State established, related
Action Accept
Comment --LIBERA CONEXOES ESTABELECIDAS
15. CONFIGURANDO REGRA PARA PERMITIR NAVEGAÇÃO WEB

Crie uma nova regra da seguinte maneira:

Chain Forward
Protocol tcp
Dst. Port 80,443
In. Interface ether? (selecionar a interface da REDE LOCAL)
Connection State New
Action Accept
Comment --LIBERA NAVEGAÇÃO WEB (TCP/80;443)

Agora crie outra regra, mas desta vez liberando o protocolo UDP pois alguns sites dependem
dele para abrir (chama-se quick o protocolo que usa UDP para acessar páginas HTTP):

Chain Forward
Protocol udp
Dst. Port 443
In. Interface ether? (selecionar a interface da REDE LOCAL)
Connection State New
Action Accept
Comment --LIBERA NAVEGAÇÃO WEB (TCP/80;443)

16. CONFIGURANDO REGRA PARA PERMITIR CONSULTA DNS NA INTERNET

Crie uma nova regra da seguinte maneira:

Chain Forward
Protocol udp
Dst. Port 53
In. Interface ether? (selecionar a interface da REDE LOCAL)
Connection State New
Action Accept
Comment --LIBERA CONSULTA DNS

17. CONFIGURANDO REGRA PARA PERMITIR PING NA INTERNET

Criar uma nova regra, marcando:

Chain Forward
Protocol icmp
In. Interface ether? (selecionar a interface da REDE LOCAL)
Action Accept
Comment --LIBERA ICMP (PING)
18. CONFIGURANDO REGRA PARA PERMITIR ACESSO REMOTO AO MIKROTIK

Esta regra útil para que a equipe de TI possa acessar o mikrotik externamente, de maneira segura
permitindo que apenas os endereços IP autorizados externos possam se conectar na
administração do Roteador.

Primeiro crie um Address List com a lista de IPs que estão autorizados a acessar o Mikrotik
externamente.

Imagem: Tela de criação de uma Address List contendo o IP autorizado a conectar externamente
neste Roteador. Caso seja necessário autorizar mais de um endereço IP, adicione outra Address
List com o mesmo nome e com o outro IP. Repetindo assim o nome da Address List, é possível
ter uma mesma Address List com vários IPs.

Agora crie uma nova regra da seguinte maneira, de forma a liberar o Address List criado
anteriormente:

Chain Input
Src. Address List IP_ADM_REMOTO
In. Interface List ALL_WAN
Action Accept
Comment --LIBERA ADMINISTRACAO REMOTA (INTERNET)
19. CRIANDO REGRA PARA PERMTIR A REDE LAN SE CONECTAR AO MIKROTIK

Esta regra vai liberar que qualquer máquina da rede LAN acesse a configuração do mikrotik para
administração. Por isso é importante que a senha de acesso ao Mikrotik seja forte.

Cria uma nova regra, da seguinte maneira:

Chain Input
In. Interface Ether? (interface atribuída à rede interna)
Action Accept
Log marcar
Comentário --LIBERA CONEXÃO LAN COM ESTE FIREWALL

20. LIBERANDO CONEXÃO INICIADA PELO FIREWALL PARA QUALQUER DESTINO

Esta regra vai permitir que o firewall se comunique com outros hosts, como por exemplo buscar
atualizações na internet.

Criar uma nova regra, da seguinte maneira:

Chain output
Action Allow
Comentário -- LIBERA CONEXOES INICIADAS PELO PROPRIO FIREWALL

21. CRIANDO REGRAS DE REDIRECIONAMENTO DE PORTAS (NAT)

Esse tipo de regra é usado para expor na internet serviços como câmeras DVR, servidores RDP,
banco de dados e também aplicações web. Desta forma junto do dns dinâmico será possível
passar o acesso de serviços internos para usuários fora da empresa.

Criar uma regra de NAT (IP -> Firewall -> NAT) usando o seguinte exemplo:

Chain dstnat
In. Interface List ALL_WAN
Action dst-nat
Log marcar
To Addresses **ip do servidor hospedando o serviço a ser publicado na internet
To Ports **porta destino a ser publicada na internet.

Repita esta etapa para quantas portas forem necessárias de encaminhar da internet.
22. CRIANDO REFLEXÃO DO NAT UMA ÚNICA VEZ

Para que as regras NAT acima criadas permitam que a conexão seja completada, uma outra regra
se faz necessário. Visto que a regra NAT apenas troca o endereço de destino, a regra abaixo vai
fazer com que a conexão tendo o novo IP destino seja liberada a trafegar.

Crie a seguinte regra:

Chain Forward
In. Interface List ALL_WAN
Connection NAT State dsnat
Action Accept
Log marcar

23. CRIAR A REGRA DE BLOQUEIO DE TRÁFEGO NÃO EXPLÍCITAMENTE LIBERADO

Agora iremos criar a regra que vai bloquear qualquer tráfego não previamente liberado.

Crie uma nova com os seguintes dados:

Chain Forward
Action Reject
Reject With icmp network unreachable
Log marcar
Comment Bloqueio padrão.
24. ANEXO I – COMANDOS COMUNS DE EXECUTAR NO TERMINAL

Desligar o sistema
system/shutdown

Listar os adaptadores de rede (ethernet)

interface/ethernet/print

Configurar um endereço ip em uma interface

ip/address/add interface=ether3 address=192.168.254.1/24 network=192.168.254.0
comment=--INTERFACE-LAN

Listar as rotas atualmente configuradas

ip/route/print

Iniciar a captura de pacotes pela linha de comandos

tool/sniffer/start

Visualizar os pacotes capturados

tool/sniffer/packet/print

Parar a captura de pacotes

Tool/sniffer/stop