Microtik

Controle de pais
Submenu: /ip kid-control
Neste menu, é possível criar um perfil para cada Kid e restringir a acessibilidade à Internet.
Propriedade Descrição
nome ( sequência ) Nome do perfil infantil
seg, ter, qua, qui, sex, sáb, Cada dia da semana. A hora do dia é selecionada,
dom ( hora ) quando o acesso à Internet deve ser permitido
desativado ( sim | não ) Se as restrições estão ativadas
limite de taxa ( string ) Taxa de dados máxima disponível para fluxo
tur-mon, tur-terça, quarta-
tur, tur-qui, tur-fri, tur- Taxa de tempo ilimitado. A hora do dia é selecionada,
quando o acesso à Internet deve ser ilimitado
SAT, tur-sol ( tempo )
Os parâmetros de taxa de tempo ilimitado têm prioridade mais alta que o parâmetro
de limite de taxa .
Aparelhos
Submenu: /ip kid-control device
Este submenu contém informações se houver vários dispositivos conectados à Internet (telefone,
tablet, console de jogos, TV etc.). O dispositivo é identificado pelo endereço MAC que é recuperado da
tabela ARP. O endereço IP apropriado é retirado de lá.
Propriedade Descrição
nome ( sequência ) Nome do dispositivo
endereço mac ( string ) Endereço mac dos dispositivos
usuário ( string ) A qual perfil anexar o dispositivo
zerar contadores ( [id, nome] ) Redefina os contadores de bytes acima e abaixo.
Exemplo
No exemplo a seguir, restringiremos o acesso ao telefone móvel Peters:
•Acesso à Internet para deficientes na segunda, quarta e sexta-feira

•Acesso ilimitado à Internet permitido em:
•terça
•Quinta-feira, das 11: 00-22: 00
•Domingo 15: 00-22: 00
•Largura de banda limitada a 3 Mbps para o celular Peters no sábado, das 18: 30-21: 00
[admin @ MikroTik]> / ip kid-control adicionar nome = Peter mon = "" tur-
ter = "00: 00-24h" wed = "" tur-qui = "11: 00-22: 00" fri = " "sat =" 18:
30-22: 00 "tur-sun =" 15h-21h "limite de taxa = 3M
[admin @ MikroTik]> / dispositivo de controle de crianças por ip add name
= Usuário de telefone celular = Peter mac-address = FF: FF: FF: ED: 83:
63
A limitação de acesso à Internet é implementada adicionando regras de filtro de firewall dinâmico ou

regras de fila simples. Aqui estão exemplos de regras de filtro de firewall:
[admin @ MikroTik]> / ip firewall filter print
1 D ;;; Telefone celular, controle infantil

cadeia = ação direta = rejeitar endereço src = 192.168.88.254

cadeia = ação direta = rejeitar dst-address = 192.168.88.254
Fila simples criada dinamicamente:
[admin @ MikroTik]> / fila de impressão simples

Sinalizadores: X - desativado, I - inválido, D - dinâmico

nome = "fila1" destino = 192.168.88.254 / 32 pai = nenhuma marca de
pacote = "" prioridade = fila 8/8 = padrão pequeno / padrão / pequeno
limite = 3M / 3M limite máximo = 3M / 3M burst -limit = 0/0
limite de burst = 0/0 tempo de burst = 0s / 0s tamanho do bucket =
0,1 / 0,1
É possível monitorar quantos dados usam dispositivos específicos:
[admin @ MikroTik]> / ip kid-control device imprimir estatísticas
Sinalizadores: X - desativado, D - dinâmico, B - bloqueado, L - limitado,

I - inativo
# NAME TAXA DE IDLE-TIME TAXA DE DESCARGA BYTES-DOWN BYTES-UP
1 BI Celular 30s 0bps 0bps 3438.1KiB 8.9KiB
Também é possível pausar todas as restrições e, em seguida, retomá- las sempre que você desejar:
[admin @ MikroTik]> / pausar o controle de crianças Peter

[admin @ MikroTik]> / ip kid-control print
Sinalizadores: X - desativado, P - em pausa, B - bloqueado, L - com taxa
limitada
# NOME SOL SEG TER QUA QUI FRI SAT
0 PB Peter 15h-21h 11h-22h 18: 30h-22h
Manual: Primeira inicialização
visão global
Depois de instalar o software RouterOS ou ativá-lo pela primeira vez, existem várias maneiras de
conectar-se a ele:
•Acesso à CLI (Command Line Interface ) via Telnet, SSH, cabo serial ou até teclado e monitor, se o
seu roteador tiver uma placa VGA.
•Acessando a GUI baseada na Web ( WebFig )
•Usando o utilitário de configuração WinBox (aplicativo Windows, compatível com Wine)
Todo roteador é pré-configurado de fábrica com o endereço IP 192.168.88.1/24 na porta ether1. O
nome de usuário padrão é admin sem senha. Depois de fazer o login pela primeira vez, crie um novo
usuário com uma senha no grupo "completo", faça login novamente e exclua o usuário administrador
padrão. É altamente recomendável que você siga as diretrizes gerais do artigo Protegendo seu
roteador para proteger o dispositivo contra qualquer acesso não autorizado.
Configurações adicionais podem ser definidas dependendo do modelo do RouterBOARD. A maioria

dos modelos tem o ether1 configurado como uma porta WAN e qualquer comunicação com o roteador
por essa porta não é possível, pois ele é firewall para proteger contra qualquer acesso externo. A lista
de modelos do RouterBOARD e suas configurações padrão podem ser encontradas neste artigo.
Winbox
O Winbox é um utilitário de configuração que pode se conectar ao roteador via protocolo MAC ou IP. A
versão mais recente do winbox pode ser baixada da nossa página de download .
Conectando a um dispositivo
1) Execute o utilitário Winbox
2) Navegue para "Vizinhos"
3) Veja se o Winbox encontra seu roteador e seu endereço MAC
Info: a descoberta de vizinhos Winbox descobrirá todos os roteadores na rede de transmissão
4) Se você vir o roteador na lista, conecte-o clicando no endereço IP / MAC e pressionando

o botão Conectar
O Winbox tentará baixar plug-ins do roteador, se estiver se conectando pela primeira vez ao roteador
com a versão atual.
Observe que pode levar até um minuto para baixar todos os plugins se o winbox estiver conectado ao
protocolo MAC
5) Depois que o winbox tiver baixado com êxito os plugins e autenticado, a janela principal será
exibida:
Se o winbox não encontrar roteadores, verifique se:
•) Seu computador Windows está conectado diretamente ao roteador com um cabo Ethernet ou eles
estão no mesmo domínio de broadcast
•) Como a conexão MAC funciona na Camada2, é possível conectar-se ao roteador mesmo sem a
configuração adequada do endereço IP, mas isso pode ser necessário porque a maioria dos drivers
não habilita a pilha IP se não houver configuração IPv4.
Devido ao uso da transmissão, a conexão MAC não é estável o suficiente para ser usada
continuamente, portanto, não é aconselhável usá-la em uma rede real de produção / ao vivo !. A
conexão MAC deve ser usada apenas para a configuração inicial.
Siga o manual do winbox para obter mais informações.
QuickSet e WebFig
Se você possui um roteador com configuração padrão, o endereço IP do roteador pode ser usado para
conectar-se à interface da Web. A primeira tela a aparecer será o QuickSet, onde você pode definir a
senha e as configurações básicas para proteger seu dispositivo. Para configurações mais avançadas,
clique no botão WebFig para abrir o modo Avançado, que possui quase a mesma funcionalidade de
configuração do Winbox .
CLI
A Command Line Interface (CLI) permite a configuração das configurações do roteador usando
comandos de texto. Como há muitos comandos disponíveis, eles são divididos em grupos organizados
de maneira a níveis hierárquicos de menu. Siga o manual do console para obter sintaxe e comandos
da CLI.
Existem várias maneiras de acessar a CLI:
•Menu do terminal Winbox

•Telnet
•SSH
•cabo serial etc.
Cabo serial
Se o seu dispositivo tiver uma porta serial, você pode usar um cabo do console (ou cabo de modem
nulo )
Conecte uma extremidade do cabo serial à porta do console (também conhecida como porta serial ou
porta serial assíncrona DB9 RS232C) do RouterBOARD e a outra extremidade no seu PC (que,
esperançosamente, executa o Windows ou Linux). Você também pode usar um adaptador USB-
serial. Execute um programa de terminal (HyperTerminal ou Putty no Windows) com os seguintes
parâmetros para todos os modelos do RouterBOARD, exceto 230:
115200bit / s, 8 bits de dados, 1 bit de parada, sem paridade, controle

de fluxo = nenhum por padrão.
Os parâmetros do RouterBOARD 230 são:
9600bit / s, 8 bits de dados, 1 bit de parada, sem paridade, controle de

fluxo de hardware (RTS / CTS) por padrão.
Se os parâmetros estiverem definidos corretamente, você poderá ver o prompt de login. Agora você
pode acessar o roteador digitando nome de usuário e senha:
MikroTik 4.15
MikroTik Login:
MMM MMM KKK TTTTTTTTTTT KKK

MMMM MMMM KKK TTTTTTTTTTT KKK
MMM MMMM MMM III KKK KKK RRRRRR OOOOOO TTT III KKK KKK
MMM MM MMM III KKKKK RRR RRR OOO OOO TTT III KKKKK
MMM MMM III KKK KKK RRRRRR OOO OOO TTT III KKK KKK
MMM MMM III KKK KKK RRR RRR OOOOOO TTT III KKK KKK
MikroTik RouterOS 4.15 (c) 1999-2010 http://www.mikrotik.com/
[admin @ MikroTik]>
A descrição detalhada do login da CLI está na seção do processo de login .
Monitor e teclado
Se o seu dispositivo tiver uma placa gráfica (por exemplo, PC comum), basta conectar um monitor ao
conector da placa de vídeo do computador (nota: os produtos RouterBOARD não possuem isso, use o
método 1 ou 2) e veja o que acontece na tela. . Você deverá ver um login como este:
MikroTik v3.16
Conecte-se:
Digite admin como o nome de login e pressione Enter duas vezes (porque ainda não há senha), você
verá esta tela:

MikroTik RouterOS 3.16 (c) 2008 http://www.mikrotik.com/
Terminal ansi detectado, usando o modo de entrada de linha única

[admin @ roteador]>
Agora você pode começar a configurar o roteador, emitindo o comando setup .
Este método funciona com qualquer dispositivo que possua uma placa de vídeo e um conector de
teclado
Sumário
Parabéns, você adquiriu o roteador MikroTik para sua rede doméstica. Este guia o ajudará a fazer a
configuração inicial do roteador para tornar sua rede doméstica um local seguro.
O guia é voltado principalmente para o caso de a configuração padrão não o levar à Internet
imediatamente, no entanto, algumas partes do guia ainda são úteis.
Fios de conexão
A configuração inicial do roteador deve ser adequada para a maioria dos casos. A descrição da
configuração está na parte de trás da caixa e também é descrita no manual online .
A melhor maneira de conectar os fios conforme descrito na caixa:
•Conecte o fio Ethernet do seu provedor de serviços de Internet (ISP) à porta ether1 , o restante das
portas do roteador são para LAN (rede de área local). Neste momento, seu roteador está protegido
pela configuração padrão do firewall, portanto você não deve se preocupar com isso;
•Conecte os fios da LAN ao restante das portas.
Configurando o roteador
A configuração inicial possui o cliente DHCP na interface WAN (ether1), o restante das portas é
considerado sua rede local com o servidor DHCP configurado para configuração automática de
endereço nos dispositivos clientes. Para conectar-se ao roteador, é necessário configurar o
computador para aceitar as configurações DHCP e conectar o cabo Ethernet a uma das portas LAN
(consulte routerboard.com para obter a numeração das portas do produto que você possui ou verifique
o painel frontal do roteador) .
Fazendo login no roteador

Para acessar o roteador, digite o endereço 192.168.88.1 no seu navegador. A página principal do
RouterOS será mostrada como na captura de tela abaixo. Clique no WebFig da lista.
Você será solicitado a fazer login e senha para acessar a interface de configuração. O nome de login
padrão é admin e a senha em branco (deixe o campo em branco como já está).
Contas de usuário do roteador
É uma boa idéia começar com a configuração da senha ou adicionar um novo usuário para que o
roteador não seja acessível por ninguém na sua rede. A configuração do usuário é feita
no menu Sistema -> Usuários .
Para acessar esse menu, clique em Sistema no painel esquerdo e, no menu suspenso,
escolha Usuários (conforme mostrado na captura de tela à esquerda)
Você verá esta tela, onde você pode gerenciar usuários do roteador. Nesta tela, você pode editar ou
adicionar novos usuários:
•Quando você clica no nome da conta (neste caso, admin ), a tela de edição para o usuário será
exibida.
•Se você clicar no botão Adicionar novo , a nova tela de criação de usuário será exibida.
Ambas as telas são semelhantes às ilustradas na captura de tela abaixo. Após editar os dados do
usuário, clique em OK (para aceitar alterações) ou em Cancelar . Isso o levará de volta à tela inicial do
gerenciamento de usuários.
Na edição do usuário / Adicionar nova tela, você pode alterar o usuário existente ou criar um novo. O
campo marcado com 2. é o nome do usuário, o campo 1. abrirá a tela de senha, onde a senha antiga
do usuário poderá ser alterada ou adicionada uma nova (veja a captura de tela abaixo).
Configurar o acesso à Internet
Se a configuração inicial não funcionou (o seu ISP não está fornecendo o servidor DHCP para
configuração automática), você precisará obter detalhes do seu ISP para a configuração estática do
roteador. Essas configurações devem incluir
•Endereço IP que você pode usar

•Máscara de rede para o endereço IP
•Endereço de gateway padrão
Configurações menos importantes relacionadas à configuração do roteador:
•Endereço DNS para resolução de nomes

•Endereço do servidor NTP para configuração automática de horário
•Seu endereço MAC anterior da interface voltada para o ISP
Cliente DHCP
A configuração padrão é configurada usando o Cliente DHCP na interface voltada para o seu ISP ou
WAN (rede de longa distância). Ele deve ser desativado se o seu provedor de serviços de Internet não
estiver fornecendo este serviço na rede. Abra 'IP -> Cliente DHCP' e inspecione o campo 1. para ver o
status do cliente DHCP, se estiver no estado exibido na captura de tela, significa que o seu ISP não
está fornecendo configuração automática e você pode usar o botão na seleção 2. para remova o
cliente DHCP configurado na interface.
Endereço IP estático
Para gerenciar endereços IP do roteador, abra 'IP -> Endereço'
Você terá um endereço aqui - o endereço da sua rede local (LAN) 192.168.88.1 que você está
conectado ao roteador. Selecione Adicionar novo para adicionar um novo endereço IP estático à
configuração do seu roteador.
Você precisa preencher apenas os campos marcados. O campo 1. deve conter o endereço
IP fornecido pelo seu ISP e máscara de rede '. Exemplos:
172.16.88.67/24
essas duas notações significam o mesmo, se o seu provedor de serviços de Internet forneceu um
endereço em uma notação ou na outra, use uma fornecida e o roteador fará o restante do cálculo.
Outro campo de interesse é a interface que este endereço será atribuído. Esta deve ser a interface à
qual o seu ISP está conectado, se você seguiu este guia - interface contém nome - ether1
Nota: Enquanto você digita o endereço, o webfig calcula se o endereço
digitado é aceitável, se o rótulo do campo não ficar vermelho, caso contrário,
ficará azul
Nota: É uma boa prática adicionar comentários sobre os itens para fornecer
algumas informações adicionais para o futuro, mas isso não é obrigatório
Configurando conversão de endereço de rede (NAT)

Como você usa redes locais e globais, é necessário configurar o disfarce de rede, para que sua LAN
fique oculta por trás do endereço IP fornecido pelo seu ISP. Isso deve ser assim, já que seu ISP não
sabe quais endereços de LAN você usará e sua LAN não será roteada da rede global.
Para verificar se você possui o NAT de origem, abra 'IP -> Firewall -> guia NAT' e verifique se o item
destacado (ou similar) está em sua configuração.
Campos essenciais para o baile de máscaras funcionar:
•ativado está marcado;

•cadeia - deve ser srcnat ;
•A interface de saída está configurada para conectar-se à sua rede ISP, seguindo este guia ether1 ;
•a ação deve ser configurada para mascarar .
Na captura de tela, a regra correta é visível, observe que os campos irrelevantes que não devem ter
nenhum valor definido aqui estão ocultos (e podem ser ignorados)
Gateway padrão
no menu 'IP -> Rotas', você deve adicionar uma regra de roteamento chamada rota padrão. E
selecione Adicionar novo para adicionar uma nova rota.
Na tela apresentada, você verá a seguinte tela:

aqui você terá que pressionar o botão + com a etiqueta vermelha do gateway e entrar no campo
gateway padrão, ou simplesmente o gateway fornecido pelo seu ISP.
Deve ficar assim quando você pressiona o botão + e insere o gateway no campo exibido.
Depois disso, você pode pressionar o botão OK para concluir a criação da rota padrão.
Nesse momento, você deve conseguir acessar qualquer host disponível globalmente na Internet
usando o endereço IP.
Para verificar se a adição do tempo do gateway padrão foi bem-sucedida, use Ferramentas -> Ping
Resolução de nomes de domínio

Para poder abrir páginas da Web ou acessar hosts da Internet por nome de domínio, o DNS deve ser
configurado no seu roteador ou no seu computador. No escopo deste guia, apresentarei apenas a
opção de configuração do roteador, para que os endereços DNS sejam fornecidos pelo servidor DHCP
que você já está usando.
Isso pode ser feito em 'IP -> DNS -> Configurações', primeiro Abra 'IP -> DNS':
Em seguida, selecione Configurações para configurar o DNS cacher no roteador. Você precisa
adicionar um campo para inserir o endereço IP do DNS, seção 1. na imagem abaixo. e
marque Permitir solicitações remotas marcadas com 2.
O resultado de pressionar + duas vezes resultará em 2 campos para endereços IP de DNS:
Nota: O preenchimento de um valor aceitável no campo tornará o rótulo do

campo azul, caso contrário, será marcado em vermelho.
Cliente SNTP
Os roteadores RouterBOARD não mantêm o tempo entre reinicializações ou falhas de energia. Para
ter a hora correta no roteador, configure o cliente SNTP, se necessário.
Para fazer isso, vá para 'Sistema -> SNTP', onde é necessário habilitá-lo, primeira marca, alterar o
modo de difusão para unicast, para que você possa usar servidores NTP globais ou fornecidos pelo
ISP, que permitirão inserir endereços IP do servidor NTP em terceira área.
Configurando o Wireless
Para facilitar o uso, será usada a configuração sem fio em ponte, para que os hosts com fio estejam no
mesmo domínio de transmissão Ethernet que os clientes sem fio.
Para que isso aconteça, várias coisas precisam ser verificadas:
•As interfaces Ethernet designadas para LAN são comutadas ou em ponte ou são portas separadas;
•Se existir interface de ponte;
•O modo de interface sem fio está definido como ap-bridge (no caso, o roteador possui nível de licença
4 ou superior); caso contrário, o modo deve ser definido como bridge e apenas um cliente (estação)
poderá se conectar ao roteador usando rede sem fio;
•Há um perfil de segurança apropriado criado e selecionado nas configurações da interface.
Verifique o estado da interface Ethernet
Aviso: a alteração das configurações pode afetar a conectividade com o

roteador e você pode ser desconectado do roteador. Use o Modo de
segurança para que, em caso de desconexão, as alterações sejam revertidas
para o que estavam antes de entrar no modo de segurança
Para verificar se a porta Ethernet está comutada, em outras palavras, se a porta Ethernet estiver
configurada como escrava de outra porta, vá para o menu 'Interface' e abra os detalhes da interface
Ethernet. Eles podem ser distinguidos pela coluna Tipo, exibindo Ethernet .
Quando os detalhes da interface são abertos, procure a configuração da porta principal .

As configurações disponíveis para o atributo são nenhuma ou um dos nomes de interface Ethernet. Se
o nome estiver definido, isso significa que essa interface será definida como porta
escrava. Normalmente, os roteadores RouterBOARD virão com ether1 como a porta WAN pretendida e
o restante das portas será definido como portas escravas do ether2 para uso em LAN.
Verifique se todas as portas Ethernet LAN pretendidas estão definidas como portas escravas do
restante de uma das portas LAN. Por exemplo, se ether2. ether3, ether4 e ether5 são destinados como
portas LAN, configurados em ether3 para ether5 que atribuem Porta Mestre a ether2 .
Caso esta operação falhe - significa que a interface Ethernet é usada como porta na ponte, você deve
removê-las da ponte para ativar a comutação de pacotes de hardware entre as portas Ethernet. Para
fazer isso, vá para Bridge -> Ports e remova as portas escravas (por exemplo, ether3 para ether5 ) da
guia.
Nota: Se a porta principal estiver presente como porta de ponte, tudo bem, a
configuração pretendida exige isso, o mesmo se aplica à interface sem fio ( wlan )
Perfil de segurança
É importante proteger sua rede sem fio, para que nenhum ato malicioso possa ser executado por
terceiros usando o ponto de acesso sem fio.
Para editar ou criar um novo perfil de segurança, vá para 'Sem fio -> guia' Produtos de segurança 'e
escolha uma das duas opções:
•Usando Adicionar novo, crie um novo perfil;

•Usando o caminho destacado na captura de tela, edite o perfil padrão que já está atribuído à interface
sem fio.
Neste exemplo, criarei um novo perfil de segurança, editando-o bastante. As opções que precisam ser
definidas são destacadas com as opções de leitura e recomendadas, destacadas por caixas vermelhas
e predefinidas para os valores recomendados. O WPA e o WPA2 são usados, pois ainda existem
equipamentos herdados (laptops com Windows XP, que não suportam WPA2 etc.)
A chave pré-compartilhada WPA e a chave pré-compartilhada WPA2 devem ser inseridas com
comprimento suficiente. Se o comprimento da chave for muito curto, o rótulo do campo indicará que,
ao ficar vermelho, quando o comprimento for atingido, ele ficará azul.
Nota: As chaves pré-compartilhadas WPA e WPA2 devem ser diferentes
Nota: Ao configurar isso, você pode desmarcar Ocultar senhas no

cabeçalho da página para ver os valores reais dos campos, para que possam
ser inseridos com êxito na configuração do dispositivo que se conectará ao
ponto de acesso sem fio
Configurações sem fio
Ajustando as configurações sem fio. Isso pode ser feito
aqui:
Na seção Geral , ajuste as configurações conforme mostrado na captura de tela. Considere-os

seguros, no entanto, é possível que eles precisem ser ligeiramente ajustados.
O modo de interface deve ser configurado como ap-bridge , se isso não for possível (restrições de
licença) definido como bridge, para que um cliente possa se conectar ao dispositivo.
Os dispositivos WiFI geralmente são projetados com os modos de 2,4 GHz em mente, definir a faixa
para 2 GHz-b / g / n permitirá que clientes com 802.11b, 802.11ge 802.11n se conectem ao ponto de
acesso
Ajuste a largura do canal para permitir taxas de dados mais rápidas para clientes 802.11n. No
exemplo, o canal 6 é usado, como resultado, 20 / 40MHz HT Acima ou 20/40 MHz HT Abaixo pode ser
usado. Escolha um deles.
Defina SSID - o nome do ponto de acesso. Será visível quando você procurar redes usando seu
equipamento WiFi.
Na seção HT , altere as cadeias de transmissão e recepção HT. É uma boa prática habilitar todas as
cadeias
disponíveis
Quando as configurações são definidas adequadamente, é hora de ativar nosso ponto de acesso sem
fio
protegido
Bridge LAN com Wireless

Abra o menu Bridge e verifique se há alguma interface de ponte disponível na primeira marca. Se não
houver, selecione Adicionar novo marcado com segunda marca e, na tela exibida, aceite as
configurações padrão e crie a interface. Quando a interface de ponte estiver disponível, continue
na guia Portas, na qual a interface principal da LAN e a interface WiFI devem ser adicionadas.
A primeira área marcada é onde as interfaces adicionadas como portas à interface de ponte são
visíveis. Se não houver portas adicionadas, escolha Adicionar novo para adicionar novas portas às
interfaces de ponte criadas.
Quando uma nova porta de ponte for adicionada, selecione se está ativada (parte da configuração
ativa), selecione a interface correta da ponte, seguindo este guia - deve haver apenas 1 interface. E
selecione a porta correta - porta principal da interface LAN e porta WiFi
Aparência final da ponte configurada com todas as portas necessárias
Solução de problemas e configuração avançada

Esta seção está aqui para fazer alguns desvios da configuração descrita no próprio guia. Pode exigir
mais entendimento de redes, redes sem fio em geral.
Geral
Verifique o endereço IP
Adicionar endereço IP com máscara de rede incorreta resultará em configuração de rede
incorreta. Para corrigir esse problema, é necessário alterar o campo de endereço , primeira seção, com
endereço e máscara de rede corretos e o campo de rede com a rede correta ou desmarcá-lo, para que
seja recalculado novamente
Alterar senha do usuário atual
Para alterar a senha do usuário atual, o lugar seguro para ir é Sistema -> Senha
Onde todos os campos devem ser preenchidos. Há outro lugar onde isso pode ser feito, caso você
tenha privilégios totais no roteador.
Alterar senha do usuário existente

Se você possui privilégios totais no roteador, é possível alterar a senha de qualquer usuário sem o
conhecimento do atual. Isso pode ser feito no menu Sistema -> Usuários .
Os passos são:
•Selecione usuário;
•digite a senha e digite-a novamente para saber que você deseja definir
Sem acesso à Internet ou rede ISP
Se você seguiu este guia à risca, mas mesmo assim você pode se comunicar apenas com os hosts
locais e todas as tentativas de conexão à Internet falharem, há algumas coisas a serem verificadas:
•Se o disfarce estiver configurado corretamente;

•Se a configuração do endereço MAC do dispositivo anterior na interface WAN mudar alguma coisa
•O ISP possui algum portal em cativeiro.
Respectivamente, existem várias maneiras de resolver o problema: verifique uma configuração se não
estiver faltando nenhuma parte da configuração, o segundo endereço MAC. A mudança de endereço
mac está disponível apenas no CLI - New Terminal no menu do lado esquerdo. Se uma nova janela
não estiver sendo aberta, verifique seu navegador se estiver permitindo abrir janelas pop-up para este
local. Lá você terá que escrever o seguinte comando substituindo o endereço MAC para corrigir um:
/ interface ethernet set ether1 mac-address = XX: XX: XX: XX: XX: XX: XX
Ou entre em contato com o seu ISP para obter detalhes e informar que você mudou de dispositivo.
Verificando link
Existem certas coisas necessárias para o link Ethernet funcionar:
•As luzes de atividade do link acendem quando o fio Ethernet é conectado à porta
•O endereço IP correto está definido na interface
•A rota correta está definida no roteador
O que procurar usando a ferramenta ping:
•Se todos os pacotes forem respondidos;

•Se todos os pacotes tiverem aproximadamente o mesmo tempo de ida e volta (RTT) no link Ethernet
não congestionado
Está localizado aqui: Ferramenta -> Menu Ping . Preencha o campo Ping To e pressione start para
iniciar o envio de pacotes ICMP.
Sem fio
Recursos sem nome sem fio no guia que são bons sobre. Ajustes de configuração.
Frequências e largura do canal

É possível escolher diferentes frequências, aqui estão as frequências que podem ser usadas e as
configurações de largura do canal para usar o canal HT de 40MHz (para 802.11n). Por exemplo, o uso
da configuração de frequência do canal 1 ou 2412MHz abaixo de 20 / 40MHz HT não produzirá
nenhum resultado, pois não há canais de 20MHz disponíveis abaixo da frequência definida.
Canal # Frequência Abaixo Acima

1 2412 MHz não sim
2 2417 MHz não sim
3 2422 MHz não sim
4 2427 MHz não sim
5 2432 MHz sim sim
6 2437 MHz sim sim
7 2442 MHz sim sim
8 2447 MHz sim sim
9 2452 MHz sim sim
10 2457 MHz sim sim
11 2462 MHz sim não
Aviso: você deve verificar quantas e quais frequências você possui em seu
domínio regulatório antes. Se houver 10 ou 11 canais, ajuste as configurações
adequadamente. Com apenas 10 canais, o canal 10 não terá a definição
de 20 / 40MHz HT acima, pois nenhum canal completo de 20MHz está
disponível
Uso de frequência sem fio

Se a conexão sem fio não estiver funcionando muito bem, mesmo quando as taxas de dados são
relatadas como boas, é possível que seus vizinhos estejam usando o mesmo canal sem fio que
você. Para certificar-se de seguir estas etapas:
•Ferramenta de monitoramento de uso de frequência aberta Freq. Uso ... localizado nos detalhes da
interface sem fio;
•Aguarde um pouco enquanto os resultados da verificação são exibidos. Faça isso por um minuto ou
dois. Números menores na coluna " Uso" significam que o canal está menos cheio.
Nota: O monitoramento é realizado nos canais padrão do País selecionado na
configuração. Por exemplo, se o país selecionado fosse a Letônia, haveria 13
frequências listadas, pois nesse país são permitidos 13 canais.
Alterar configurações do país

Por padrão, o atributo country nas configurações sem fio é definido como no_country_set . É uma boa
prática alterar isso (se disponível) para alterar o país em que você está. Para fazer isso, faça o
seguinte:
•Vá para o menu sem fio e selecione Modo avançado ;
Procurar atributo País e, no menu suspenso, selecione o país
Nota: O modo avançado é o botão de alternância que muda do modo simples para o
avançado e vice-versa.
Encaminhamento de porta
Para disponibilizar serviços em servidores / hosts locais para o público em geral, é possível
encaminhar portas de fora para dentro da rede NAT, isso é feito no menu nat do / ip firewall . Por
exemplo, para possibilitar que o suporte remoto se conecte à área de trabalho e o guie, disponibilize o
cache de arquivos local quando você não estiver no local, etc.
Configuração estática
Muitos usuários preferem configurar essas regras estaticamente, para ter mais controle sobre qual
serviço é acessível externamente e o que não é. Isso também deve ser usado quando o serviço que
você está usando não suporta configuração dinâmica.
A regra a seguir encaminhará todas as conexões para a porta 22 no endereço IP externo do roteador
para a porta 86 em seu host local com o endereço IP definido:
se você precisar que outros serviços estejam acessíveis, poderá alterar o protocolo conforme
necessário, mas geralmente os serviços estão executando TCP e dst-port. Se a mudança de porta não
for necessária, por exemplo. o serviço remoto é 22 e o local também é 22; então, as portas podem ficar
sem configuração.
Comando de linha de comando comparável:

/ ip firewall nat add chain = dstnat endereço-dst = 172.16.88.67
protocol = tcp dst-port = 22 \
action = endereço dst-nat = 192.168.88.22 to-ports = 86
Nota: A captura de tela contém apenas um conjunto mínimo de

configurações que ficam visíveis
Configuração dinâmica
O uPnP é usado para habilitar a configuração dinâmica de encaminhamento de porta, na qual o
serviço que você está executando pode solicitar o roteador usando o uPnP para encaminhar algumas
portas.
Aviso: Os serviços dos quais você não está ciente podem solicitar
encaminhamento de porta. Isso pode comprometer a segurança da sua rede
local, seu host executando o serviço e seus dados
Configurando o serviço uPnP no roteador:
•Configure quais interfaces devem ser consideradas externas e quais internas;
/ interface upnp ip adicionar interface = ether1 tipo = externo

/ interface upnp ip adicionar interface = ether2 tipo = interno
•Ativar o próprio serviço

/ ip upnp set allow-disable-external-interface = no show-dummy-rule =
não ativado = sim
Limitando o acesso a páginas da web

Usando IP -> Proxy da Web , é possível limitar o acesso a páginas da web indesejadas. Isso requer
alguma compreensão do uso da interface WebFig.
Configurar o proxy da Web para filtragem de páginas

No menu IP -> Proxy da Web, guia Acesso, abra Configurações do Proxy da Web e verifique se esses
atributos estão definidos a seguir:
Ativado -> marcado

Porto -> 8080
Máx. Tamanho do cache -> nenhum
Cache no disco -> desmarcado
Proxy pai -> não definido
Quando as alterações necessárias forem feitas, aplique as configurações para retornar à guia Acesso .
Configurar regras de acesso

Esta lista conterá todas as regras necessárias para limitar o acesso a sites na Internet.
Para adicionar uma regra de amostra para negar o acesso a qualquer host que contenha
example.com, faça o seguinte ao adicionar nova entrada:
DST. Host ->. * Exemplo \ .com. *

Ação -> Negar
Com essa regra, qualquer host que tenha example.com ficará inacessível.
Estratégias de limitação
Existem duas abordagens principais para esse problema
•negar apenas as páginas que você sabe que deseja negar (A)
•permitir apenas determinadas páginas e negar tudo o resto (B)
Para abordagem A cada site que precisa ser negado é adicionado com Ação definida como Negar
Para a abordagem B, cada site que precisa ser permitido deve ser adicionado com Ação definida
como Permitir e, no final, regra, que corresponde a tudo com Ação definida como Negar .
Manual: Processo de login do console

Descrição
Existem diferentes maneiras de fazer login no console:
•porta serial
•console (tela e teclado)
•telnet
•ssh
•mac-telnet
•terminal winbox
A entrada e validação do nome de usuário e senha são feitas pelo processo de login. O processo de
login também pode mostrar diferentes telas informativas (licença, lembrete de atualização da versão
demo, informações sobre as chaves do software, configuração padrão).
No final da sequência de login bem-sucedida, o processo de login imprime o banner e entrega o

controle ao processo do console.
O processo do console exibe a nota do sistema , as últimas entradas críticas do log , detecta
automaticamente o tamanho e os recursos do terminal e exibe o prompt de comando ]. Depois disso,
você pode começar a escrever comandos.
Use a seta para cima para recuperar comandos anteriores do histórico de comandos, a tecla TAB para
concluir automaticamente as palavras no comando que você está digitando, a tecla ENTER para
executar o comando e Control-C para interromper o comando atualmente em execução e retornar ao
prompt.
A maneira mais fácil de sair do console é pressionar Control-D no prompt de comando enquanto a
linha de comando estiver vazia (você pode cancelar o comando atual e obter uma linha vazia com
Control-C, para que Control-C seguido de Control-D registre você na maioria dos casos).
Opções de login do console

A partir da v3.14, é possível especificar opções do console durante o processo de login. Essas opções
ativam ou desativam vários recursos do console, como cores, detecção de terminal e muitos outros.
Parâmetros de login adicionais podem ser anexados ao nome de login após o sinal '+'.
login_name :: = user_name ['+' parâmetros]

parâmetros :: = parâmetro [parâmetros]
parâmetro :: = [número] 'a' .. 'z'
número :: = '0' .. '9' [número]
Se o parâmetro não estiver presente, o valor padrão será usado. Se o número não estiver presente,
será utilizado o valor implícito do parâmetro.
exemplo: admin + c80w - desativará as cores do console e definirá a largura do terminal para 80.
Param Padrão Implícito Descrição

"W" auto auto Definir largura do terminal
"h" auto auto Definir altura do terminal
"c" em fora desativar / ativar cores do console
"t" em fora Faça a detecção automática de recursos do terminal
"e" em fora Ativa o modo terminal "burro"
Informações diferentes mostradas pelo processo de login

Bandeira
O processo de login exibirá o banner do MikroTik após a validação do nome de usuário e senha.

MikroTik RouterOS 3.0rc (c) 1999-2007 http://www.mikrotik.com/
O banner real pode ser diferente do mostrado aqui se for substituído pelo distribuidor. Veja
também: branding .
Licença
Após o login pela primeira vez após a instalação, você será solicitado a ler as licenças de software.
Deseja ver a licença do software? [S / n]:

Responda y para ler licenças, n se você não quiser ler licenças (a pergunta não será mostrada
novamente). Pressionar ESPAÇO pulará esta etapa e a mesma pergunta será feita após o próximo
login.
Lembrete de atualização da versão demo

Após o login no roteador que possui a chave demo, a seguinte observação é mostrada:
Atualize agora para suporte total

----------------------------
Benefícios do SUPORTE COMPLETO:
- receber suporte técnico
- um ano de suporte a recursos
- atualizações online de um ano
(evite reinstalar e reconfigurar seu roteador)
Para atualizar, registre sua licença "ID do software"
no nosso servidor de conta www.mikrotik.com
Instalação atual "ID do software": ABCD-456
Por favor, pressione "Enter" para continuar!
Informações principais do software

Se o roteador não tiver chave de software, ele estará sendo executado no modo de teste por tempo
limitado. Após o login, as seguintes informações são mostradas:
ROUTER NÃO TEM CHAVE DE SOFTWARE

----------------------------
Você tem 16h58m para configurar o roteador para ser acessado remotamente,
e para inserir a chave colando-a em uma janela Telnet ou no Winbox.
Consulte www.mikrotik.com/key para mais detalhes.
Instalação atual "ID do software": ABCD-456

Por favor, pressione "Enter" para continuar!
Após inserir a chave de software válida, as seguintes informações são mostradas após o login:
ROUTER TEM NOVA CHAVE DE SOFTWARE

----------------------------
Seu roteador possui uma chave válida, mas ficará ativa
somente após a reinicialização. O roteador será reiniciado
automaticamente em um dia.
=== Configuração automática ===
Normalmente, após [[netinstall | instalação]] ou configuração

[[redefinir]], o RouterOS aplicará [[padrão
configurações]], como um endereço IP.
O primeiro login mostrará um resumo dessas configurações e oferecerá para
desfazê-las.
Isto é um exemplo:
<pre>
A seguinte configuração padrão foi instalada no seu roteador:
--------------------------------------------------
-----------------------------
O endereço IP 192.168.88.1/24 está no ether1
ether1 está ativado
--------------------------------------------------
-----------------------------
Você pode digitar "v" para ver os comandos exatos usados para adicionar e
remover
nesta configuração padrão, ou você pode vê-los mais tarde com
Comando '/ system default-configuration print'.
Para remover esta configuração padrão, digite "r" ou pressione qualquer
outra tecla para continuar.
Se você estiver conectado usando o IP acima e o remover, será
desconectado.
A aplicação e remoção da configuração padrão é feita usando o script do console (você pode
pressionar 'v' para revisá-lo).
Informações diferentes mostradas pelo processo do console

após o login
Nota do sistema
É possível sempre exibir algumas mensagens de texto fixas após o login no console.
Mensagens críticas de log

O console exibirá as últimas mensagens de erro críticas que este usuário ainda não viu. Veja
o log para mais detalhes sobre a configuração. Durante a sessão do console, essas mensagens são
impressas na tela.
/ 10 / dez / 2007 10:40:06 sistema, erro, falha crítica no login do

usuário root a partir de 10.0.0.1 via telnet
/ 10 / dez / 2007 10:40:07 sistema, erro, falha crítica no login do
usuário root a partir de 10.0.0.1 via telnet
10 / dez / 2007 10:40:09 sistema, erro, falha crítica no login para teste
do usuário a partir de 10.0.0.1 via telnet
Pronto
•[admin @ MikroTik] / interface> - Prompt de comando padrão, mostra o nome do usuário, a
identidade do sistema e o caminho do comando atual.
•[admin @ MikroTik] / interface <SAFE> - Prompt indica que a sessão do console está no
modo de segurança.
•[admin @ MikroTik] >> - O prompt indica que o HotLock está ativado.
•{(\ ... - Ao digitar várias linhas, o prompt de continuação de comandos mostra parênteses abertos.
•linha 2 de 3> - Ao editar o prompt de comando de várias linhas, mostra o número da linha atual e
a contagem de linhas.
•endereço: - Comando solicita entrada adicional. Prompt mostra o nome do valor solicitado.
O console pode mostrar prompts diferentes, dependendo dos modos e dados ativados que estão
sendo editados. O prompt de comando padrão se parece com o seguinte:
[admin @ MikroTik] / interface>

O prompt de comando padrão mostra o nome do usuário, o sinal '@' e o nome do sistema entre
colchetes, seguido pelo espaço, seguido pelo caminho do comando atual (se não for '/'), seguido por '>'
e espaço. Quando o console está no modo de segurança , mostra a palavra SAFE no prompt de
comando.
[admin @ MikroTik] / interface <SAFE>
O modo Hotlock é indicado por um caractere amarelo '>' adicional no final do prompt.
[admin @ MikroTik] >>
É possível escrever comandos que consistem em várias linhas. Quando a linha inserida não é um
comando completo e é esperada mais entrada, o console mostra um prompt de continuação que lista
todos os parênteses, chaves, colchetes e aspas abertos e também controla a barra invertida se a linha
anterior terminar com a barra invertida-espaço em branco.
[admin @ MikroTik]> {
{... :colocar (\
{(\ ... 1 + 2)}
3
Quando você está editando essa entrada de várias linhas, o prompt mostra o número da linha atual e a
contagem total de linhas em vez do nome de usuário e nome do sistema comuns.
linha 2 de 3>: put (\
Às vezes, os comandos solicitam informações adicionais do usuário. Por exemplo, o comando '/
password' solicita senhas antigas e novas. Nesses casos, o prompt mostra o nome do valor solicitado,
seguido por dois pontos e espaço.
[admin @ MikroTik]> / senha

Senha Antiga: ******
Nova senha: **********
redigite a nova senha: **********
Perguntas frequentes
P: Como desativo as cores no console?
R: Adicione '+ c' após o nome de login.
P: Após o login, o console imprime lixo na tela, o que fazer?

P: Meu script expect não funciona com versões mais recentes do 3.0, ele recebe alguns
caracteres estranhos. O que são aqueles?
R: Essas seqüências são usadas para detectar automaticamente o tamanho e os recursos do
terminal. Adicione '+ t' após o nome de login para desativá-los.
P: Obrigado, agora a largura do terminal não está correta. Como faço para definir a largura do
terminal?
R: Adicione '+ t80w' após o nome de login, onde 80 é a largura do seu terminal.
Ferramentas de solução de problemas
Antes, examinamos os comandos mais significativos para verificação de conectividade e solução de
problemas. Aqui está um pequeno lembrete sobre como verificar os parâmetros da interface de rede do
computador host.
As janelas da Microsoft têm um conjunto completo de ferramentas úteis de linha de comando que
ajudam a testar e configurar as interfaces LAN / WAN. Examinaremos apenas as ferramentas e
comandos de rede do Windows comumente usados.
Todas as ferramentas estão sendo executadas no terminal do Windows. Vá em Iniciar / Executar e

digite "cmd" para abrir uma janela de comando.
Alguns dos comandos no Windows são:
ipconfig - usado para exibir os valores de configuração da rede TCP / IP. Para abri-lo, digite
" ipconfig " no prompt de comando.
C: \> ipconfig
Configuração de IP do Windows
Conexão de área local do adaptador Ethernet:
Sufixo DNS específico da conexão. : mshome.net
Endereço IPv6 local do link. . . . . : fe80 :: 58ad: cd3f: f3df: bf18%
8
Endereço IPv4. . . . . . . . . . . : 173.16.16.243
Máscara de sub-rede. . . . . . . . . . . : 255.255.255.0
Gateway padrão. . . . . . . . . : 173.16.16.1
Há também uma variedade de funções adicionais para o ipconfig . Para obter uma lista de opções
adicionais, digite " ipconfig /? " ou " ipconfig -? ".
netstat - exibe as conexões e portas TCP ativas nas quais o computador está ouvindo, estatísticas
Ethernet, tabela de roteamento IP, estatísticas para os protocolos IP, ICMP, TCP e UDP. Ele vem com
várias opções para exibir uma variedade de propriedades da rede e conexões TCP "netstat -?".
nslookup - é uma ferramenta administrativa da linha de comando para testar e solucionar problemas
de servidores DNS. Por exemplo, se você quiser saber qual endereço IP é "www.google.com", digite
" nslookup www.google.com " e você verá que existem mais endereços 74.125.77.99, 74.125.77.104,
74.125.77.147.
netsh - é uma ferramenta que um administrador pode usar para configurar e monitorar computadores
baseados no Windows em um prompt de comando. Permite configurar interfaces, protocolos de
roteamento, rotas, filtros de roteamento e exibir a configuração atualmente em execução.
Comandos muito semelhantes também estão disponíveis em máquinas do tipo unix. Hoje, na maioria
das distribuições Linux, as configurações de rede podem ser gerenciadas via GUI, mas é sempre bom
estar familiarizado com as ferramentas de linha de comando. Aqui está a lista de comandos e
ferramentas básicas de rede no Linux:
ifconfig - é semelhante aoscomandos ipconfig no Windows. Permite ativar / desativar os adaptadores

de rede, o endereço IP atribuído e os detalhes da máscara de rede, além de mostrar atualmente a
configuração da interface de rede.
iwconfig - a ferramenta iwconfig é como ifconfig e ethtool para placas sem fio. Isso também exibe e
define os detalhes básicos da rede Wi-Fi.
nslookup - forneça um nome de host e o comando retornará o endereço IP.
netstat - imprima conexões de rede, incluindo conexões de portas, tabelas de roteamento, estatísticas
de interface, conexões de máscaras e muito mais. ( netstat - r, netstat - a )
ip - mostra / manipula roteamento, dispositivos, roteamento de políticas e túneis na máquina linux.
Por exemplo, verifique o endereço IP na interface usando o comando ip :
$ ip addr show
Você pode adicionar uma rota estática usando o seguinte comando ip :
ip route adicione {endereço de rede} via {endereço do próximo salto} dev {DEVICE} , por exemplo:
$ ip route add 192.168.55.0/24 via 192.168.1.254 dev eth1
As ferramentas mencionadas são apenas uma pequena parte das ferramentas de rede disponíveis no
Linux. Lembre-se se você quiser detalhes completos sobre as opções de ferramentas e comandos, use
o comando man . Por exemplo, se você quiser conhecer todas as opções
no comando ifconfig write man ifconfig no terminal.
Verifique a conectividade de rede

Usando o comando ping
Ping é um dos comandos mais usados e conhecidos. Utilitário de administração usado para testar se
um host específico é acessível através de uma rede IP e para medir o tempo de ida e volta para
pacotes enviados do host local para um host de destino, incluindo as próprias interfaces do host local.
O ping usa o protocolo ICMP (Internet Control Message Protocol) para resposta e solicitação de eco. O
ping envia pacotes de solicitação de eco ICMP para o host de destino e aguarda uma resposta ICMP. A
saída de ping exibe os tempos mínimo, médio e máximo usados para um pacote de ping encontrar um
sistema especificado e retornar.
Do PC:
Janelas:
C: \> ping 10.255.255.4

Ping 10.255.255.4 com 32 bytes de dados:
Resposta de 10.255.255.4: bytes = 32 tempo = 1ms TTL = 61
Resposta de 10.255.255.4: bytes = 32 tempo <1ms TTL = 61
Estatísticas de ping para 10.255.255.4:
Pacotes: enviados = 4, recebidos = 4, perdidos = 0 (0%
Tempos aproximados de ida e volta em mili-segundos:
Mínimo = 0ms, Máximo = 1ms, Média = 0ms
Tipo Unix:
andris @ andris-desktop: / $ ping 10.255.255.6

PING 10.255.255.6 (10.255.255.6) 56 (84) bytes de dados.
64 bytes de 10.255.255.6: icmp_seq = 1 ttl = 61 time = 1.23 ms
^ C
--- 10.255.255.6 estatísticas de ping ---
4 pacotes transmitidos, 4 recebidos, 0% de perda de pacotes, tempo 2999ms
rtt min / média / máx / mdev = 0,780 / 0,948 / 1,232 / 0,174 ms
Pressione Ctrl-C para interromper o processo de ping.
Do MikroTik:
[admin @ MikroTik]> ping 10.255.255.4

10.255.255.4 Ping de 64 bytes: ttl = 62 time = 2 ms
10.255.255.4 Ping de 64 bytes: ttl = 62 tempo = 8 ms
4 pacotes transmitidos, 4 pacotes recebidos, 0% de perda de pacotes
ida e volta mín / média / máx = 1 / 5,2 / 10 ms
Pressione Ctrl-C para interromper o processo de ping.
Usando o comando traceroute

O Traceroute exibe a lista dos roteadores pelos quais o pacote viaja para chegar a um host
remoto. A ferramenta traceroute ou tracepath está disponível em praticamente todos os sistemas
operacionais do tipo Unix e tracert nos sistemas operacionais Microsoft Windows.
A operação do traceroute é baseada no valor TTL e na mensagem ICMP "Time Exceeded". Lembre-se
de que o valor TTL no cabeçalho IP é usado para evitar loops de roteamento. Cada salto diminui o
valor TTL em 1. Se o TTL chegar a zero, o pacote será descartado e a mensagem ICMP Time
Excedido será enviada de volta ao remetente quando isso ocorrer.
Inicialmente por traceroute, o valor TTL é definido como 1 quando o próximo roteador encontra um
pacote com TTL = 1, define o valor TTL como zero e responde com a mensagem ICMP "time exceded"
à fonte. Esta mensagem informa à fonte que o pacote atravessa esse roteador específico como um
salto. Na próxima vez, o valor TTL é incrementado em 1 e assim por diante. Normalmente, cada
roteador no caminho em direção ao destino diminui o campo TTL em uma unidade TTL atinge zero.
Usando este comando, você pode ver como os pacotes trafegam pela rede e onde podem falhar ou
diminuir a velocidade. Usando essas informações, você pode determinar o computador, roteador,
switch ou outro dispositivo de rede que possivelmente esteja causando problemas ou falhas na rede.
Do computador pessoal:
Janelas:
C: \> tracert 10.255.255.2

Traçando a rota para 10.255.255.2 em um máximo de 30 saltos
1 <1 ms <1 ms <1 ms 10.13.13.1
2 1 ms 1 ms 1 ms 10.255.255.2
Rastreio concluído.
Tipo Unix:
Traceroute e tracepath são semelhantes, apenas o tracepath não requer privilégios de superusuário.
andris @ andris-desktop: ~ $ tracepath 10.255.255.6

1: andris-desktop.local (192.168.10.4) 0.123ms pmtu 1500
1: 192.168.10.1 (192.168.10.1) 0.542ms
1: 192.168.10.1 (192.168.10.1) 0.557ms
2: 192.168.1.2 (192.168.1.2) 1.213ms
3: sem resposta
4: 10.255.255.6 (10.255.255.6) 2.301ms atingidos
Resumo: pmtu 1500 lúpulos 4 costas 61
Do MikroTik:
[admin @ MikroTik]> traceroute de ferramentas 10.255.255.1

ESTADO DO ENDEREÇO
1 10.0.1.17 2ms 1ms 1ms
2 10.255.255.1 5ms 1ms 1ms
[admin @ MikroTik]>
Arquivos de log
O recurso de monitoramento de eventos do sistema permite depurar problemas diferentes usando
logs. Arquivo de log é um arquivo de texto criado no servidor / roteador / host que captura diferentes
tipos de atividades no dispositivo. Este arquivo é a principal fonte de análise de dados. O RouterOS é
capaz de registrar vários eventos do sistema e informações de status. Os logs podem ser salvos na
memória, no disco, no arquivo, nos roteadores (RAM), enviados por email ou até mesmo no servidor
syslog remoto.
Todas as mensagens armazenadas na memória local dos roteadores podem ser impressas
no /log menu. Cada entrada contém hora e data em que o evento ocorreu, tópicos aos quais esta
mensagem pertence e a própria mensagem.
[admin @ MikroTik] / log> imprimir

15:22:52 sistema, dispositivo de informação alterado por administrador
16:16:29 sistema, informações, usuário administrador da conta
desconectado de 10.13.13.14 via winbox
16:16:29 sistema, informações, usuário administrador da conta
desconectado de 10.13.13.14 via telnet
16:17:16 sistema, regra de filtro de informações adicionada por admin
16:17:34 system, info mangle rule adicionado por admin
16:17:52 sistema, fila de informações simples removida pelo administrador
16:18:15 sistema, informação rede OSPFv2 adicionada por admin
Leia mais sobre o logon no RouterOS aqui >>

Tocha (/ tocha de ferramenta)
Torch é uma ferramenta de monitoramento de tráfego em tempo real que pode ser usada para
monitorar o fluxo de tráfego através de uma interface.
Você pode monitorar o tráfego classificado por nome de protocolo, endereço de origem, endereço de
destino, porta. A tocha mostra os protocolos que você escolheu e a taxa de dados tx / rx para cada um
deles.
Nota: O tráfego Unicast entre clientes sem fio com o encaminhamento de

cliente para cliente ativado não será visível na ferramenta da tocha. Os
pacotes processados com a ponte habilitada para descarregamento de
hardware também não serão visíveis (unicast desconhecido, broadcast e algum
tráfego multicast será visível para a ferramenta tocha).
Exemplo:
O exemplo a seguir monitora o tráfego gerado pelo protocolo telnet, que passa pela interface ether1.
Ferramenta [admin @ MikroTik]> porta ether1 da tocha = telnet

SRC-PORT DST-PORT TX RX
1439 23 (telnet) 1.7kbps 368bps
Ferramenta [admin @ MikroTik]>
Para ver quais protocolos IP são enviados via ether1:
Ferramenta [admin @ MikroTik]> protocolo ether1 da tocha = qualquer IP

PRO .. TX RX
tcp 1.06kbps 608bps
udp 896bps 3.7kbps
icmp 480bps 480bps
ospf 0bps 192bps
Para ver quais protocolos estão vinculados a um host conectado à interface 10.0.0.144/32 ether1:
Ferramenta [admin @ MikroTik]> tocha ether1 src-address = 10.0.0.144 /

32 protocol = any
PRO .. SRC-ENDEREÇO TX RX
tcp 10.0.0.144 1.01kbps 608bps
icmp 10.0.0.144 480bps 480bps
Aviso: o tráfego que aparece na tocha ocorre antes de ser filtrado pelo
Firewall. Isso significa que você poderá ver pacotes que podem ser
descartados pelas regras do firewall.
IPv6
A partir da tocha v5RC6, é possível mostrar o tráfego IPv6. Dois novos parâmetros são
introduzidos src-address6 e dst-address6 . Exemplo:
admin @ RB1100test]> / interface da tocha da ferramenta = ponte de desvio

src-address6 = :: / 0 protocolo IP = qualquer sr
endereço c = 0.0.0.0 / 0
PROTOCOLO MAC PRO-IP ... ENDEREÇO SRC TX RX
ipv6 tcp 2001: 111: 2222: 2 :: 1 60.1kbps 1005.4kbps
ip tcp 10.5.101.38 18.0kbps 3.5kbps
ip vrrp 10.5.101.34 0bps 288bps
ip udp 10.5.101.1 0bps 304bps
ip tcp 10.0.0.176 0bps 416bps
ip ospf 224.0.0.5 544bps 0bps
78.7kbps 1010.0kbps
Para que a ferramenta / ping funcione com o nome de domínio que resolve o endereço IPv6, use o
seguinte:
/ ping [: resolve ipv6.google.com]
Por padrão, a ferramenta ping aceita o endereço IPv4.
Winbox
A interface do Torch mais atraente está disponível no Winbox (Tool> Torch). No Winbox, você também
pode acionar uma barra de filtro pressionando a tecla F no teclado.
Farejador de pacotes (/ farejador de ferramentas)
O sniffer de pacotes é uma ferramenta que pode capturar e analisar pacotes enviados e recebidos por
uma interface específica. sniffer de pacotes usa o formato libpcap .
Configuração do Packet Sniffer
No exemplo a seguir , o servidor de streaming será adicionado, o streaming será ativado, o nome do
arquivo será definido para teste e o sniffer de pacotes será iniciado e interrompido após algum tempo:
sniffer de ferramenta [admin @ MikroTik]> definir servidor de streaming

= 192.168.0.240 \
\ ... streaming-enabled = yes nome do arquivo = teste
sniffer de ferramenta [admin @ MikroTik]> imprimir
interface: todos
somente cabeçalhos: não
limite de memória: 10
nome do arquivo: "teste"
limite de arquivo: 10
ativado para streaming: sim
servidor de streaming: 192.168.0.240
filtro-fluxo: sim
protocolo de filtro: somente IP
filter-address1: 0.0.0.0/0.0-65535
filter-address2: 0.0.0.0/0.0-65535
executando: não
sniffer de ferramenta [admin @ MikroTik]> start
sniffer de ferramenta [admin @ MikroTik]> parar
Aqui, você pode especificar parâmetros diferentes do sniffer de pacotes , como quantidade máxima de
memória usada, limite de tamanho de arquivo em KBs.
Executando a ferramenta Sniffer de pacotes
Existem três comandos usados para controlar a operação de tempo de execução do sniffer de pacotes:
/ início do farejador de ferramentas , / parada do farejador de ferramentas , salvamento do

farejador de ferramentas.
O comando start é usado para iniciar / redefinir o sniffing, stop - pára de sniffing. Para salvar pacotes
detectados no momento em um arquivo específico, o comando save é usado.
No exemplo a seguir, o sniffer de pacotes será iniciado e após algum

tempo - parado:
sniffer de ferramenta [admin @ MikroTik]> start

sniffer de ferramenta [admin @ MikroTik]> parar
Abaixo dos pacotes sniffed serão salvos no arquivo chamado test :
sniffer de ferramenta [admin @ MikroTik]> salvar nome do arquivo = teste
Ver pacotes cheirados
Também existem submenus diferentes disponíveis para a visualização de pacotes aspirados.
•/ tool sniffer packet - mostra a lista de pacotes sniffed

•/ tool sniffer protocol - mostra todos os tipos de protocolos que foram detectados
•/ tool sniffer host - mostra a lista de hosts que estavam participando da troca de dados que você
farejou
Por exemplo:
pacote farejador de ferramentas [admin @ MikroTik]> print
# TIME INTERFACE SRC-ADDRESS

0 1.697 ether1 0.0.0.0:68 (bootpc)
1 1,82 éter1 10.0.1.17
2 2.007 éter1 10.0.1.18
3 2.616 ether1 0.0.0.0:68 (bootpc)
4 2.616 éter1 10.0.1.18:45630
5 5.99 éter1 10.0.1.18
6 6.057 éter1 159.148.42.138
7 7.067 éter1 10.0.1.5:1701 (l2tp)
8 8.087 ether1 10.0.1.18:1701 (l2tp)
9 9.977 ether1 10.0.1.18:1701 (l2tp)
-- Mais
A figura abaixo mostra a GUI do sniffer no Winbox , que é mais fácil de usar.
A descrição detalhada dos comandos pode ser encontrada no manual >>
Teste de largura de banda

O Bandwidth Tester pode ser usado para medir a taxa de transferência (Mbps) para outro roteador
MikroTik (rede com ou sem fio) e, assim, ajudar a descobrir " gargalos" da rede - ponto de rede com
menor taxa de transferência .
O teste BW usa dois protocolos para testar a largura de banda:
•TCP - usa os princípios padrão de operação do protocolo TCP com todos os principais componentes,
como inicialização de conexão, reconhecimento de pacotes, mecanismo de janela de
congestionamento e todos os outros recursos do algoritmo TCP. Consulte o protocolo TCP para obter
detalhes sobre suas configurações de velocidade interna e como analisar seu comportamento. As
estatísticas de taxa de transferência são calculadas usando o tamanho inteiro do fluxo de dados
TCP. Como as confirmações são um trabalho interno do TCP, seu tamanho e uso do link não são
incluídos nas estatísticas de taxa de transferência. Portanto, as estatísticas não são tão confiáveis
quanto as estatísticas de UDP ao estimar a taxa de transferência.
•Tráfego UDP - envia 110% ou mais pacotes do que os atualmente relatados como recebidos no outro
lado do link. Para ver a taxa de transferência máxima de um link, o tamanho do pacote deve ser
definido para a MTU máxima permitida pelos links, que geralmente é de 1500 bytes. Não há
reconhecimento exigido pelo UDP; essa implementação significa que a aproximação mais próxima da
taxa de transferência pode ser vista.
Lembre-se de que o Teste de largura de banda usa toda a largura de banda disponível (por padrão) e
pode afetar a usabilidade da rede.
Se você deseja testar a taxa de transferência real de um roteador, execute o teste de largura de banda
através do roteador que não é dele ou para ele. Para fazer isso, você precisa de pelo menos 3
roteadores conectados em cadeia:
Bandwidth Server - roteador em teste - Bandwidth Client.
Nota: Se você usar o protocolo UDP, o Teste de largura de banda contará o

cabeçalho IP + o cabeçalho UDP + os dados UDP. Caso você use TCP, o
teste de largura de banda conta apenas os dados TCP (o cabeçalho TCP e o
cabeçalho IP não estão incluídos).
Exemplo de configuração:
Servidor
Para habilitar o servidor de teste de largura de banda com autenticação de cliente:
[admin @ MikroTik] / servidor de largura de banda da ferramenta> set

enabled = yes authenticate = yes
[admin @ MikroTik] / servidor de largura de banda da ferramenta> print
ativado: sim
autenticar: sim
alocar-udp-ports-from: 2000
sessões máximas: 100
[admin @ MikroTik] / servidor de largura de banda da ferramenta>
Cliente
Execute o teste de largura de banda UDP em ambas as direções, o nome do usuário e a senha
dependem do servidor de largura de banda remoto. Nesse caso, o nome do usuário é 'admin' sem
nenhuma senha.
[admin @ MikroTik]> protocolo de teste de largura de banda da ferramenta

= udp user = admin password = "" direction = both \
address = 10.0.1.5
status: em execução
duração: 22s
tx-current: 97.0Mbps
tx-10-segundo-médio: 97.1Mbps
tx-total-média: 75,2 Mbps
rx-atual: 91.7Mbps
rx-10-segundo-médio: 91.8Mbps
rx-total-média: 72,4 Mbps
pacotes perdidos: 294
dados aleatórios: não
direção: ambos
tamanho tx: 1500
tamanho rx: 1500
- [Q sai | D dump | Cz pausa]
Mais informações e descrição de todos os comandos podem ser encontradas no manual >>
analisador
Profiler é uma ferramenta que mostra o uso da CPU para cada processo em execução no
RouterOS. Ajuda a identificar qual processo está usando a maioria dos recursos da CPU.
Manual: arquivo de saída de suporte

O que é um arquivo supout.rif?
Aplica-se ao RouterOS: ALL
O arquivo de suporte é usado para depurar o MikroTik RouterOS e resolver as questões de suporte
mais rapidamente. Todas as informações do MikroTik Router são salvas em um arquivo binário, que é
armazenado no roteador e pode ser baixado do roteador usando FTP. Se necessário, você também
pode gerar arquivos na pasta "/ flash" em dispositivos com memória do tipo FLASH ou unidade de
armazenamento externa, especificando o caminho completo para o arquivo "name = flash /
supout.rif". Você pode visualizar o conteúdo deste arquivo na sua conta Mikrotik , basta clicar em
"Supout.rif viewer" localizado na coluna da esquerda e fazer o upload do arquivo.
Este arquivo contém todas as configurações de roteadores, logs e alguns outros detalhes que ajudarão
o Suporte MikroTik a resolver seu problema. O arquivo não contém informações confidenciais ou
senhas do roteador.
Criando arquivo de saída de suporte

Winbox
Para gerar este arquivo no Winbox, clique em "Make Supout.rif"
Para salvar o arquivo no seu computador, clique com o botão direito do mouse no arquivo e selecione
"Download" para obter o arquivo de saída de suporte ou simplesmente arraste o arquivo para a área
de trabalho.
Webfig
Para gerar esse arquivo no Webfig, clique em "Make Supout.rif" e depois em "Download" para entrar
no seu computador
Console
Para gerar este arquivo, digite na linha de comando:
/ system sup-output name = supout.rif
Manual: Protegendo seu roteador
As etapas a seguir são recomendadas como proteger seu roteador. É altamente recomendável manter
o firewall padrão; ele pode ser corrigido por outras regras que atendam aos seus requisitos de
configuração. Outros ajustes e opções de configuração para reforçar a segurança do seu roteador são
descritos mais adiante. Para saber quais métodos de segurança são usados internamente pelo
RouterOS, leia o artigo de segurança .
Versão do RouterOS
Comece atualizando sua versão do RouterOS. Algumas versões mais antigas tiveram algumas
fraquezas ou vulnerabilidades que foram corrigidas. Mantenha seu dispositivo atualizado, para garantir
que ele seja seguro. Clique em "verificar atualizações" no Winbox ou Webfig, para atualizar. Sugerimos
que você siga os anúncios em nosso blog de anúncios de segurança para ser informado sobre novos
problemas de segurança.
Acesso a um roteador
Acessar nome de usuário
Altere o nome de usuário padrão admin para outro nome; o nome personalizado ajuda a proteger o
acesso ao seu rotuer, se alguém tiver acesso direto ao seu roteador.
/ user add name = myname senha = mypassword group = full

/ user remove admin
Aviso: use uma senha segura e um nome diferente para o nome de usuário
do seu roteador.
Senha de acesso
Os roteadores MikroTik requerem configuração de senha. Sugerimos usar o pwgen ou outra
ferramenta geradora de senha para criar senhas seguras e não repetitivas,
/ conjunto de usuários 0 senha = "! = {Ba3N!" 40TуX + GvKBz? jTLIUcx /, "
Outra opção para definir uma senha,
/senha
É altamente recomendável usar o segundo método ou a interface do Winbox para aplicar a nova senha
ao seu roteador, apenas para mantê-lo protegido contra outros acessos não autorizados.
Acesso por endereço IP

Além do fato de o firewall padrão proteger seu roteador contra acesso não autorizado de redes
externas, é possível restringir o acesso ao nome de usuário para o endereço IP específico
/ conjunto de usuários 0 endereço permitido = xxxx / aa
xxxx / aa - seu sub-rede IP ou de rede com permissão para acessar seu roteador.
Nota: efetue login no roteador com novas credenciais para verificar se o
nome de usuário / senha estão funcionando.
Serviços de roteador
Todos os roteadores de produção precisam ser administrados pelos serviços SSH, Winbox seguro ou
HTTPs. Use a versão mais recente do Winbox para acesso seguro. Observe que nas versões mais
recentes do Winbox, o "Modo seguro" está ativado por padrão e não pode mais ser desativado.
Serviços RouterOS
A maioria das ferramentas administrativas do RouterOS são configuradas em
/ serviço de impressão de ip
Mantenha apenas os seguros,
/ ip serviço desativar telnet, ftp, www, api, api-ssl

e também altere a porta padrão, isso interromperá imediatamente a maioria das tentativas aleatórias
de login do bruteforce SSH:
conjunto de serviços / ip porta ssh = 2200

Além disso, cada entidade de serviço / ip pode ser protegida pelo endereço IP permitido (o serviço de
endereço responderá)
conjunto de serviços / ip endereço winbox = 192.168.88.0 / 24

Acesso MAC ao RouterOS
O RouterOS possui opções integradas para facilitar o acesso ao gerenciamento de dispositivos de
rede. Os serviços específicos devem ser desligados nas redes de produção.
Telnet MAC
Desative os serviços mac-telnet,
/ tool mac-server set allowed-interface-list = none

/ ferramenta mac-server print
MAC-Winbox
Desative os serviços mac-winbox,
/ tool mac-server mac-winbox set allowed-interface-list = none

/ ferramenta mac-server mac-winbox print
MAC-Ping
Desative o serviço mac-ping,
/ ferramenta conjunto de ping do servidor mac ativado = não

/ ferramenta ping do servidor mac impressão
Descoberta de vizinhos
O protocolo de descoberta MikroTik Neighbour é usado para mostrar e reconhecer outros roteadores
MikroTik na rede, desativar a descoberta de vizinhos em todas as interfaces,
/ ip vizinho discovery-settings set discover-interface-list = none
Servidor de largura de banda

O servidor de largura de banda é usado para testar a taxa de transferência entre dois roteadores
MikroTik. Desative-o no ambiente de produção.
/ conjunto de servidores de largura de banda da ferramenta ativado = não
Cache DNS
O roteador pode ter o cache DNS ativado, o que diminui o tempo de resolução de solicitações DNS
dos clientes para os servidores remotos. Caso o cache DNS não seja necessário no seu roteador ou
outro roteador seja usado para esses fins, desative-o.
/ ip dns define allow-remote-orders = no
Outros serviços de clientes

O RouterOS pode ter outros serviços ativados (eles são desativados por configuração padrão do
RouterOS). Proxy de cache do MikroTik,
conjunto de proxy / ip ativado = não
MikroTik meias proxy,
/ ip socks set enabled = não

Serviço MikroTik UPNP,
/ ip upnp set enabled = no
Serviço de nome dinâmico MikroTik ou nuvem ip,
/ ip cloud set ddns-enabled = no update-time = no
Acesso SSH mais seguro

O RouterOS utiliza criptografia mais forte para SSH, a maioria dos programas mais recentes o usa
para ativar a criptografia forte de SSH:
/ ip ssh definido strong-crypto = yes
Interface do roteador
Interfaces Ethernet / SFP
É uma boa prática desabilitar todas as interfaces não utilizadas no roteador, para diminuir o acesso
não autorizado ao roteador.
/ interface de impressão
/ conjunto de interfaces x desativado = sim
•x números das interfaces não utilizadas.

LCD
Alguns RouterBOARDs possuem módulo LCD para fins informativos, definem pinos ou desabilitam-no.
/ lcd set ativado = não
Firewall
É altamente recomendável manter o firewall padrão ativado. Aqui estão alguns ajustes para torná-lo
mais seguro, certifique-se de aplicar as regras quando entender o que eles estão fazendo.
Firewall IPv4 para um roteador

•trabalhe com novas conexões para diminuir a carga em um roteador;
•crie uma lista de endereços para endereços IP com permissão para acessar seu roteador;
•habilitar o acesso ICMP (opcional);
•solte todo o resto, log = yes pode ser adicionado aos pacotes de log que atingem a regra específica;
filtro de firewall / ip
adicionar ação = aceitar cadeia = comentário de entrada = "configuração
padrão" connection-state = estabelecido, relacionado
adicionar ação = aceitar cadeia = entrada src-address-list =
allowed_to_router
adicionar ação = aceitar cadeia = protocolo de entrada = icmp
adicionar ação = drop chain = input
lista de endereços de firewall / ip
adicionar endereço = 192.168.88.2-192.168.88.254 list = allowed_to_router
Firewall IPv4 para clientes
•Pacotes estabelecidos / relacionados são adicionados ao fasttrack para uma taxa de transferência de
dados mais rápida; o firewall funcionará apenas com novas conexões;
•elimine a conexão inválida e registre-a com o prefixo inválido;
•elimine tentativas de alcançar endereços não públicos da sua rede local, aplique a lista de endereços
= not_in_internet antes, bridge1 é a interface de rede local, registre as tentativas com!
public_from_LAN;
•descarte pacotes recebidos que não são NATed, ether1 é interface pública, tente logar com o prefixo!
NAT;
•descarte pacotes recebidos da Internet, que não são endereços IP públicos, ether1 é interface pública,
tentativas de log com o prefixo! public;
•soltar pacotes da LAN que não possui IP da LAN, 192.168.88.0/24 é a sub-rede usada na rede local;
filtro de firewall / ip
adicionar ação = cadeia de conexão fasttrack = encaminhar comentário =
estado da conexão FastTrack = estabelecido, relacionado
adicionar ação = aceitar cadeia = encaminhar comentário = "Estabelecido,
Relacionado" connection-state = estabelecido, relacionado
adicionar ação = eliminar cadeia = encaminhar comentário = "Eliminar
inválido" connection-state = inválido log = yes log-prefix = inválido
add action = drop chain = forward comment = "O Drop tenta acessar
endereços não públicos da LAN" dst-address-list = not_in_internet in-
interface = bridge1 log = yes log-prefix =! public_from_LAN out-interface
=! bridge1
add action = drop chain = forward comment = "Descartar pacotes recebidos
que não são NATted" connection-nat-state =! dstnat connection-state =
novo na interface = ether1 log = yes log-prefix =! NAT
add action = drop chain = forward comment = "Retirar entrada da Internet
que não é IP público" in-interface = log ether1 = sim prefixo do log =!
public src-address-list = not_in_internet
add action = drop chain = forward comment = "Remover pacotes da LAN que
não possuem IP da LAN" in-interface = log de bridge1 = sim prefixo de log
= LAN_! LAN src-address =! 192.168.88.0/24
lista de endereços de firewall / ip

adicionar endereço = 0.0.0.0 / 8 comment = lista RFC6890 =
not_in_internet
add address = 172.16.0.0 / 12 comment = RFC6890 list = not_in_internet
add address = 192.168.0.0 / 16 comment = lista RFC6890 = not_in_internet
not_in_internet
add address = 169.254.0.0 / 16 comment = lista RFC6890 = not_in_internet
not_in_internet
add address = 224.0.0.0 / 4 comment = Lista de difusão seletiva =
not_in_internet
not_in_internet
adicionar endereço = 192.88.99.0 / 24 comment = "relé 6to4 Anycast [RFC
3068]" list = not_in_internet
IPv6
Atualmente, o pacote IPv6 está desativado por padrão. Ative o pacote com cuidado, pois o RouterOS
não criará nenhuma regra de firewall padrão para IPv6 no momento.
ND IPv6
Desativar descoberta de vizinho IPv6
/ ipv6 nd set [find] desativado = yes
Firewall IPv6 para um roteador

•trabalhar com novos pacotes, aceitar pacotes estabelecidos / relacionados;
•solte endereços locais de link da interface da Internet;
•aceite o acesso a um roteador a partir de endereços locais de link, aceite endereços multicast para
fins de gerenciamento, aceite seu endereço para acesso ao roteador;
•largue qualquer outra coisa;
filtro de firewall / ipv6
adicionar ação = aceitar cadeia = entrada comentário = "permitir
estabelecido e relacionado" connection-state = estabelecido, relacionado
adicionar cadeia = ação de entrada = aceitar protocolo = icmpv6 comment =
"aceitar ICMPv6"
adicionar cadeia = ação de entrada = aceitar protocolo = porta udp =
33434-33534 comment = "defconf: aceitar traceroute UDP"
adicionar cadeia = ação de entrada = aceitar protocolo = udp dst-port =
546 src-address = fe80 :: / 16 comment = "aceitar delegação de prefixo
DHCPv6-Client."
inclua action = drop chain = entrada na interface = sit1 log = yes
prefixo do log = dropLL_from_public src-address = fe80 :: / 16
adicionar ação = aceitar cadeia = comentário de entrada = "permitir
endereços permitidos" src-address-list = allowed
adicionar ação = drop chain = input
/ lista de endereços de firewall ipv6
adicionar endereço = fe80 :: / 16 list = permitido
adicionar endereço = xxxx :: / 48 list = allowed
adicione endereço = ff02 :: / 16 comment = lista multicast = permitido
Firewall IPv6 para clientes

O IPv6 ativado coloca seus clientes disponíveis para redes públicas, configure um firewall adequado
para proteger seus clientes.
•aceitar estabelecido / relacionado e trabalhar com novos pacotes;

•descartar pacotes inválidos e colocar prefixo para regras;
•aceite pacotes ICMP;
•aceite nova conexão de seus clientes com a Internet;
•largar tudo o resto.
filtro de firewall / ipv6
adicionar ação = aceitar cadeia = encaminhar comentário = estabelecido,
relacionado ao estado da conexão = estabelecido, relacionado
adicionar ação = eliminar cadeia = encaminhar comentário = estado da
conexão inválido = log inválido = sim prefixo de log = ipv6, inválido
adicionar ação = aceitar cadeia = encaminhar comentário = icmpv6 na
interface =! sit1 protocol = icmpv6
adicionar ação = aceitar cadeia = encaminhar comentário = "rede local" na
interface =! sit1 src-address-list = permitido
adicionar ação = cadeia de recebimento = prefixo de log de encaminhamento
= IPV6
Manual: Recursos do RouterOS

Recursos do RouterOS
O RouterOS é o sistema operacional independente do MikroTik baseado no kernel do linux v3.3.5. A
lista a seguir mostra os recursos encontrados na versão mais recente do RouterOS:
Suporte de Hardware
•arquitetura compatível com i386
•SMP - compatível com vários núcleos e várias CPUs
•Mínimo de 32 MB de RAM (máximo de 2 GB com suporte, exceto em dispositivos Cloud Core e
instalações CHR, onde não há máximo)
•Suporte de armazenamento IDE, SATA, USB e flash com espaço mínimo de 64 MB
•Placas de rede suportadas pelo kernel linux v3.3.5 (PCI, PCI-X)
•Lista de compatibilidade de hardware parcial (mantida pelo usuário)
•Suporte para configuração de chip de switch
Nota: O armazenamento NVMe é suportado apenas para as arquiteturas

CHR, x86, Tile e MMIPS. Para informações específicas, consulte cada folheto
do produto ou diagrama de blocos.
Instalação
•Manual: Netinstall : instalação completa baseada em rede a partir da placa de rede habilitada para
PXE ou EtherBoot
•Manual: Versão do CHR : RouterOS destinada à execução como uma máquina virtual
•Netinstall: instalação em uma unidade secundária montada no Windows
•Instalação baseada em CD
Configuração
•Acesso baseado em MAC para configuração inicial
•WinBox - ferramenta de configuração da GUI do Windows autônoma
•M: Webfig - interface de configuração avançada baseada na Web
•MikroTik - Ferramenta de configuração baseada em Android e iOS
•Interface de configuração de linha de comando poderosa com recursos de script integrados ,
acessíveis via terminal local, console serial, telnet e ssh
•API - a maneira de criar seus próprios aplicativos de configuração e monitoramento
Restauração de backup
•Salvamento e carregamento de backup de configuração binária
•Exportação e importação de configuração em formato de texto legível por humanos
Firewall
•Filtragem completa
•Origem e destino NAT
•Ajudantes de NAT (h323, pptp, quake3, sip, ftp, irc, tftp)
•Marcas de conexão, roteamento e pacotes internos
•Filtragem por endereço IP e faixa de endereços, porta e faixa de portas, protocolo IP, DSCP e muito
mais
•Listas de endereços
•Correspondente personalizado Layer7
•Suporte IPv6
•PCC - por classificador de conexão, usado em configurações de balanceamento de carga
•Filtragem RAW para ignorar o rastreamento de conexão.
Encaminhamento
•Roteamento Estático
•Roteamento e Encaminhamento Virtual (VRF)
•Roteamento baseado em políticas
•Roteamento de interface
•Roteamento ECMP
•Protocolos de roteamento dinâmico IPv4: RIP v1 / v2, OSPFv2 , BGP v4
•Protocolos de roteamento dinâmico IPv6: RIPng, OSPFv3, BGP
•Detecção de encaminhamento bidirecional ( BFD )
MPLS
•Ligações de Etiqueta Estática para IPv4
•Protocolo de distribuição de etiquetas para IPv4
•Túneis de engenharia de tráfego de RSVP
•Descoberta automática e sinalização baseada em VPLS MP-BGP
•MPLS IP VPN baseado em MP-BGP
•lista completa de recursos MPLS
VPN
•IPSec - modo de túnel e transporte, certificado ou protocolos de segurança PSK, AH e ESP. Suporte
de criptografia de hardware no RouterBOARD 1000 .
•Suporte IKEv2
•Suporte de aceleração de hardware AES-NI para IPSec
•Túnel ponto a ponto ( OpenVPN , PPTP , PPPoE , L2TP , SSTP )
•Recursos avançados de PPP (MLPPP, BCP )
•Túneis simples ( IPIP , EoIP ) Suporte a IPv4 e IPv6
•Suporte de túnel 6to4 (IPv6 sobre rede IPv4)
•VLAN - suporte à LAN virtual IEEE802.1q, suporte Q-in-Q
•VPNs baseadas em MPLS
Sem fio
•Cliente sem fio IEEE802.11a / b / g e ponto de acesso
•Suporte completo para IEEE802.11n
•Protocolos proprietários Nstreme e Nstreme2
•Protocolo NV2
•Sistema de distribuição sem fio (WDS)
•AP virtual
•WEP, WPA, WPA2
•Lista de controle de acesso
•Roaming de cliente sem fio
•WMM
•Protocolo HWMP + Wireless MESH
•Protocolo de roteamento sem fio MME
DHCP
•Servidor DHCP por interface
•Cliente e retransmissão DHCP
•Concessões DHCP estáticas e dinâmicas
•Suporte RADIUS
•Opções personalizadas de DHCP
•Delegação de prefixo DHCPv6 (DHCPv6-PD)
•Cliente DHCPv6
Ponto de acesso
•Acesso Plug-and-Play à rede
•Autenticação de clientes de rede locais
•Contabilidade de Usuários
•Suporte RADIUS para autenticação e contabilidade
QoS
•Sistema de QoS hierárquico de Token Bucket ( HTB ) com suporte a CIR, MIR, burst e prioridade
•Solução simples e rápida para implementação básica de QoS - filas simples
•Equalização dinâmica de taxa de cliente ( PCQ )
Proxy
•Servidor proxy de armazenamento em cache HTTP
•Proxy HTTP transparente
•Suporte ao protocolo SOCKS
•Entradas estáticas de DNS
•Suporte para armazenamento em cache em uma unidade separada
•Suporte ao proxy pai
•Lista de controle de acesso
•Lista de armazenamento em cache
Ferramentas
•Ping, traceroute
•Teste de largura de banda, inundação de ping
•Farejador de pacotes, tocha
•Telnet, ssh
•Ferramentas de envio de e-mail e SMS
•Ferramentas de execução de script automatizadas
•CALEA
•Ferramenta de busca de arquivo
•Gerador de tráfego avançado
Outras características
•Suporte Samba
•Suporte ao OpenFlow
•Bridging - Spanning Tree Protocol (STP, RSTP), firewall de ponte e NAT natting.
•Ferramenta de atualização dinâmica de DNS
•Cliente / servidor NTP e sincronização com o sistema GPS
•Suporte VRRP v2 e v3
•SNMP
•M3P - Protocolo do empacotador MikroTik Packet para links sem fio e ethernet
•MNDP - Protocolo de descoberta de vizinhos MikroTik, suporta CDP (protocolo de descoberta da
Cisco)
•Autenticação e contabilidade RADIUS
•Servidor TFTP
•Suporte à interface síncrona (apenas placas Farsync) (Removido na v5.x)
•Assíncrono - discagem / discagem PPP serial, discagem sob demanda
•ISDN - discagem / discagem, suporte a pacotes de 128K, protocolos de linha Cisco HDLC, x75i, x75ui,
x75bui, discagem sob demanda
Manual: Perguntas freqüentes sobre o

RouterOS
O que é o MikroTik RouterOS ™?
O que o MikroTik RouterOS ™ faz?
O MikroTik RouterOS ™ é um sistema operacional e software de roteador que transforma um PC Intel
normal ou um hardware MikroTik RouterBOARD ™ em um roteador dedicado.
Quais recursos o RouterOS ™ possui?

Lista de recursos do RouterOS
Posso testar a funcionalidade MikroTik RouterOS ™ antes de comprar a licença?

Sim, você pode baixar a instalação da página do MikroTik e instalar seu próprio roteador MikroTik. O
roteador possui funcionalidade completa sem a necessidade de uma chave de licença por 24 horas de
tempo total de execução. É tempo suficiente para testar o roteador por 3 dias às 8h por dia, se você
desligar o roteador no final de cada 8h.
Onde posso obter a chave de licença?

Crie uma conta na página da MikroTik (o canto superior direito de www.mikrotik.com). Você pode usar
um cartão de crédito para pagar pela chave.
Posso usar o roteador MikroTik para conectar-se a um provedor de serviços por meio de uma
conexão T1, T3 ou outra conexão de alta velocidade?
Sim, você pode instalar várias NICs suportadas pelo MikroTik RouterOS ™ e obter seu roteador de
borda, roteador de backbone, firewall, gerenciador de largura de banda, servidor VPN, ponto de
acesso sem fio, HotSpot e muito mais em uma caixa. Por favor, verifique a folha de especificações e
o manual para interfaces suportadas!
Quão rápido será?

Um PC Intel é mais rápido que quase qualquer roteador proprietário e há bastante poder de
processamento, mesmo em uma CPU de 100 MHz.
Como esse software se compara ao uso de um roteador Cisco?

Você pode fazer quase tudo o que um roteador proprietário faz por uma fração do custo desse roteador
e ter flexibilidade na atualização, facilidade de gerenciamento e manutenção.
De que sistema operacional eu preciso para instalar o MikroTik RouterOS ™?

Nenhum sistema operacional é necessário. O MikroTik RouterOS ™ é um sistema operacional
independente. O sistema operacional é baseado no kernel Linux e muito estável. Seu disco rígido será
completamente limpo pelo processo de instalação. Não há suporte a disco adicional, apenas um HDR
PRINTER MASTER ou FlashDisk, exceto o cache do proxy WEB.
Quão seguro é o roteador depois de configurado?

O acesso ao roteador é protegido por nome de usuário e senha. Usuários adicionais podem ser
adicionados ao roteador, direitos específicos podem ser definidos para grupos de usuários. O acesso
remoto ao roteador pode ser restringido pelo usuário, endereço IP. A filtragem do firewall é a maneira
mais fácil de proteger seu roteador e sua rede.
Instalação
Como posso instalar o RouterOS?
O RouterOS pode ser instalado com o CD Install ou o Netinstall .
Qual o tamanho do HDD que posso usar para o MikroTik RouterOS ™?

O MikroTik RouterOS ™ suporta discos maiores que 8 GB (geralmente até 120 GB). Mas verifique se o
BIOS da placa-mãe do roteador suporta esses discos grandes.
Posso executar o MikroTik RouterOS ™ em qualquer disco rígido do meu sistema?

sim
Existe suporte para vários discos rígidos no MikroTik RouterOS ™?

Uma unidade secundária é suportada para cache da web. Este suporte foi adicionado na versão 2.8,
as versões mais antigas não suportam vários discos rígidos.
Por que a instalação do CD para em algum momento e não passa "completamente"?

A instalação do CD não está funcionando corretamente em algumas placas-mãe. Tente reiniciar o
computador e reinicie a instalação. Se isso não ajudar, tente usar um hardware diferente.
Logon e senhas
Qual é o nome de usuário e a senha ao fazer logon no roteador pela primeira vez?
O nome de usuário é 'admin' e não há senha (pressione a tecla 'Enter'). Você pode alterar a senha
usando o comando '/ password'.
Como recuperar uma senha perdida?

Se você esqueceu a senha, não há recuperação para ela. Você precisa reinstalar o roteador .
Após falha de energia, o roteador MikroTik não está inicializando novamente

Se você não desligou o roteador, o sistema de arquivos não foi desmontado corretamente. Ao iniciar, o
RouterOS ™ fará uma verificação no sistema de arquivos. Dependendo do tamanho do disco rígido,
pode levar alguns minutos para ser concluído. Não interrompa a verificação do sistema de
arquivos! Isso tornaria sua instalação inutilizável.
Como posso acessar o roteador se a interface da LAN foi desativada?

Você pode acessar o roteador localmente (usando o monitor e o teclado) ou através do console serial.
Problemas de licenciamento
Quantas instalações do MikroTik RouterOS ™ uma licença cobre?
A licença é por instalação do RouterOS. Cada roteador instalado precisa de uma licença separada.
A licença expira?
A licença nunca expira. O roteador funciona para sempre. Sua única limitação é para quais versões
você pode atualizar. Por exemplo, se aparecer "Atualizável para a v4.x", significa que você pode usar
todas as versões da v4, mas não a v5. Isso não significa que você não pode permanecer na v4.x pelo
tempo que desejar.
Como posso reinstalar o software MikroTik RouterOS ™ sem perder minha licença de software?
É necessário usar o procedimento de CD, disquete ou Netinstall e instalar o MikroTik RouterOS ™ no
HDD com a instalação anterior do MikroTik RouterOS ™ ainda intacta. A licença é mantida com o
HDD. Não use utilitários de formato ou particionamento, pois eles excluirão sua chave! Use as mesmas
configurações (iniciais) do BIOS para o seu disco rígido!
Posso usar minha licença de software MikroTik RouterOS ™ em um hardware diferente?

Sim, você pode usar um hardware diferente (placa-mãe, NICs), mas você deve usar o mesmo HDD. A
licença é mantida com o HDD, a menos que sejam utilizados utilitários de formato ou fdisk. Não é
necessário reinstalar o sistema ao mudar para um hardware diferente. Ao pagar pela licença, lembre-
se de que ela não pode ser usada em outro disco rígido diferente daquele em que foi instalado.
A transferência de licença para outro disco rígido custa 10 $. Entre em contato com o suporte para
organizar isso.
O que fazer se o meu disco rígido com o MikroTik RouterOS ™ travar e eu precisar instalar
outro?
Se você pagou pela licença, você deve escrever para apoiar [at] mikrotik.com e descrever a
situação. Podemos solicitar que você nos envie o disco rígido quebrado como prova antes de emitir
uma chave de substituição.
O que acontece se meu hardware quebrar novamente e eu perder minha chave de substituição?
O mesmo processo é usado como acima, mas desta vez, precisamos de prova física de que de fato
houve outro incidente.
Se você tiver uma licença demo gratuita, nenhuma chave de substituição poderá ser emitida. Obtenha
outra licença de demonstração ou adquira a licença base.
Mais informações disponíveis aqui All_about_licenses
Como posso inserir uma nova chave de software?

Digitando a chave no Console / FTP:
•importe o arquivo anexado com o comando '/ importação de licença do sistema' (você deve fazer
upload deste arquivo no servidor FTP do roteador)
Digitando a chave com Console / Telnet:
• use copiar / colar para inserir a chave em uma janela Telnet (não importa qual
submenu). Certifique-se de copiar a chave inteira, incluindo as linhas "--BEGIN MIKROTIK
SOFTWARE KEY--" e "--END ENVIAR MIKROTIK SOFTWARE KEY--"
Digitando a chave no Winbox:

• use o menu 'sistema -> licença' no Winbox para colar ou importar a chave
Digitei incorretamente o ID do software quando comprei a Chave do software. Como posso

consertar isso?
No servidor de contas, escolha `trabalhar com chaves`, depois selecione sua chave com erro de
digitação e escolha` corrigir chave '.
Sobre como digitar chaves, veja mais nesta página

Inserindo uma chave de licença do RouterOS
Todas as outras informações sobre chaves de licença podem ser encontradas aqui
All_about_licenses
Atualizando
Como posso instalar pacotes de recursos adicionais?
Você precisa usar os mesmos arquivos de pacote de versão (extensão .npk) que o pacote do
sistema. Use o comando / system package print para ver a lista de pacotes instalados. Verifique o
espaço livre no disco rígido do roteador usando o comando / system resource print antes de carregar
os arquivos do pacote. Verifique se você possui pelo menos 2 MB de espaço livre em disco no roteador
após fazer o upload dos arquivos do pacote!
Carregue os arquivos do pacote usando o modo BINARY ftp no roteador e execute o comando issue /
system reboot para desligar o roteador e reiniciar. Os pacotes são instalados (atualizados) enquanto o
roteador está sendo desligado. Você pode monitorar o processo de instalação na tela do monitor
conectada ao roteador. Após a reinicialização, os pacotes instalados são listados na lista
de impressão de pacotes / system .
Como posso atualizar?

Para atualizar o software, você precisará baixar os arquivos mais recentes do pacote (* .npk) em nosso
site (o pacote 'sistema' mais os que você precisa). Em seguida, conecte-se ao roteador via FTP e faça
o upload dos novos pacotes usando o modo de transferência binária.
Em seguida, reinicie o roteador emitindo o comando / system reboot . Mais informações

aqui: Upgrading_RouterOS
Instalei o pacote de recursos adicionais, mas a interface relevante não aparece na lista
de impressão / interface .
Você precisa obter (adquirir) o nível de licença necessário ou instalar o pacote NPK para esta interface
(por exemplo, pacote 'wireless').
Se eu atualizar o RouterOS, perderei minha configuração?
Não, a configuração é mantida intacta para atualizações dentro de uma família de versões. Ao
atualizar as famílias de versões (por exemplo, V2.5 para V2.6), você pode perder a configuração de
alguns recursos que apresentam grandes alterações. Por exemplo, ao atualizar da V2.4, você deve
atualizar para a última versão da 2.4 primeiro.
Quanto espaço livre em disco preciso ao atualizar para uma versão superior?
Você precisa de espaço para o pacote do sistema e os pacotes adicionais que você precisa
atualizar. Depois de carregar os pacotes de versões mais recentes no roteador, você deverá ter pelo
menos 2 MB de espaço livre em disco. Caso contrário, não tente fazer a atualização! Desinstale os
pacotes desnecessários primeiro e atualize os restantes.
Desatualização
Como posso fazer o downgrade da instalação do MikroTik RouterOS ™ para uma versão mais
antiga?
Você pode fazer o downgrade reinstalando o RouterOS ™ de qualquer mídia. A licença do software
será mantida com o HDD, desde que o disco não seja reparticionado / reformatado. A configuração do
roteador será perdida (é possível salvar a configuração antiga, mas esta opção apresenta resultados
imprevisíveis ao fazer o downgrade e não é recomendável usá-lo).
Outra maneira é usar o comando / system package downgrade . Isso funciona apenas se você fizer o
downgrade para 2.7.20 e não inferior. Carregue os pacotes mais antigos no roteador via FTP e use
o comando / system package downgrade .
Perguntas relacionadas ao TCP / IP

Eu tenho duas placas de rede no roteador MikroTik e elas estão funcionando
corretamente. Posso executar o ping nas duas redes do roteador, mas não posso executar o
ping de uma rede através do roteador para a outra rede e para a Internet. Não tenho
configuração de firewall.
Esse é um problema típico, no qual você não tem roteamento configurado no gateway principal da
Internet. Desde que você introduziu uma nova rede, você precisa 'informar' sobre ela o seu gateway
principal (seu ISP). Uma rota deve ser adicionada para sua nova rede. Como alternativa, você pode
"ocultar" sua nova rede por meio de mascaramento para obter acesso à Internet. Reserve um tempo
para estudar o Guia de Instalação Básica, onde o problema é descrito e a solução é fornecida.
Há um exemplo de como mascarar sua LAN privada:
[admin @ MikroTik] ip firewall nat> adicionar cadeia = srcnat action =

mascarada out-interface = Public
[admin @ MikroTik] ip firewall nat> imprimir
Sinalizadores: X - desativado, I - inválido, D - dinâmico
0 cadeia = srcnat out-interface = Ação pública = disfarce
Como posso alterar o número da porta TCP para serviços telnet ou http, se não quiser usar as
portas 23 e 80, respectivamente?
Você pode alterar as portas alocadas no serviço / ip.
Quando eu uso o endereço IP / máscara no formato 10.1.1.17/24 para minhas regras de filtragem
ou enfileiramento, elas não funcionam.
As regras 'não funcionam', pois não correspondem aos pacotes devido ao endereço / máscara
especificado incorretamente. A forma correta seria:
10.1.1.0/24 para os endereços IP no intervalo 10.1.1.0-10.1.1.255 ou
10.1.1.17/32 para apenas um endereço IP 10.1.1.17.
Preciso configurar o cliente DHCP, mas não há menu '/ ip dhcp-client'.

O recurso DHCP não está incluído no pacote de software do sistema. Você precisa instalar o pacote
dhcp. Carregue-o no roteador e reinicie!
Posso vincular estaticamente IPs a endereços MAC via DHCP?

Sim, você pode adicionar concessões estáticas à lista de concessões do servidor DHCP. No entanto, o
DHCP é inseguro por padrão e é melhor usar o PPPoE para autenticação do usuário e distribuição de
endereços IP. Lá, você pode solicitar que o usuário efetue logon também a partir de um endereço MAC
especificado.
Como posso mascarar duas sub-redes diferentes usando dois endereços IP externos diferentes
para elas?
Use a regra nat do firewall / ip com chain = srcnat action = nat , especifique o valor do
argumento to-src-address . Deve ser um dos endereços externos do roteador. Se você usar action =
masquerade , o endereço to src não será levado em consideração, pois será substituído
automaticamente pelo endereço externo do roteador.
Não consigo navegar em alguns sites quando uso o PPPoE.

Use / ip firewall mangle para alterar o MSS (tamanho máximo do segmento) 40 bytes a menos que o
MTU da sua conexão. Por exemplo, se você tiver criptografado o link PPPoE com MTU = 1492, defina
a regra de mangle da seguinte maneira:
/ ip firewall mangle
adicionar cadeia = protocolo de encaminhamento = tcp tcp-flags = syn
action = change-mss tcp-mss =! 0-1448 new-mss = 1448
Perguntas relacionadas ao gerenciamento de largura de

banda
Como posso controlar a largura de banda (modelagem da largura de banda) no modo Bridge?
Nas configurações de ponte, habilite o uso de ip-firewall .
Posso usar o MikroTik como uma ponte e um modelador de tráfego em uma máquina?
Sim. Você pode usar todos os extensos recursos de gerenciamento de filas. Defina a fila como a
interface em que o tráfego está realmente saindo do roteador ao passar pelo roteador. Não é a
interface da ponte! A fila na interface da ponte está envolvida apenas para o tráfego gerado pelo
roteador.
Posso limitar a largura de banda com base nos endereços MAC?

Para download:
1. marque todos os pacotes do MAC de cada cliente com marcas

diferentes
para cada cliente usando action = passthrough:
/ ip firewall mangle add chain = pré-roteamento src-mac-address = 11:
11: 11: 11: 11: 11 \
ação = marca-conexão nova-conexão-marca = host11 passagem = sim
2. Observe esses pacotes com marca de fluxo (novamente marcas de fluxo

diferentes para cada marca de conexão):
/ ip firewall mangle add chain = pré-roteamento connection-mark =
host11 new-packet-mark = host11
3. Podemos usar essas marcas de fluxo nas árvores de filas agora.
Embora essa solução deva funcionar, ela é fundamentalmente falha, pois o primeiro pacote de cada
conexão destinada a esses clientes não será levado em consideração.
Para upload:
[admin @ AP] ip firewall mangle> adicionar cadeia = pré-roteamento

src-mac-address = 11: 11: 11: 11: 11: 11 \
action = mark-packet new-packet-mark = upload
Perguntas sem fio

Posso fazer a ponte da interface wlan operando no modo de estação ?
Não, você não pode.
Cliente AP sem fio
Sumário
O exemplo de configuração mostra como estabelecer uma rede sem fio simples usando o MikroTik
RouterOS. O MikroTik RouterOS é totalmente compatível com os padrões IEEE802.11a / b / g / n,
o dispositivo MikroTik RouterOS pode ser usado como ponto de acesso sem fio e estação sem fio
( outros modos também são suportados).
Configuração
Nossa configuração básica é
Configuração do ponto de acesso
•Conecte-se ao roteador via Winbox
•Instalação Interface sem fio , as opções de configuração necessárias são mode = ap-bridge band =
ap_operated_band frequency = ap_operated_frequency ssid = network_identification
Essas configurações são suficientes para estabelecer a conexão sem fio. Além disso, você precisa
adicionar um endereço IP para a interface sem fio para roteamento IP, opcionalmente, adicionar
segurança e outras configurações.
Configuração da estação
•O exemplo de configuração do cliente sem fio é para o MikroTik RouterOS, a configuração do sistema
operacional de outro fornecedor deve ser consultada na documentação / fórum / lista de discussão
apropriada etc.
•Conecte-se ao roteador cliente da mesma maneira e prossiga para a configuração da interface sem
fio .
•As opções de configuração necessárias são mode = banda da estação = band_ap_operates_on ssid
= ap_network_ssid
Essas configurações são suficientes para estabelecer a conexão sem fio; além disso, você precisa
definir o endereço IP da interface sem fio para estabelecer a comunicação de roteamento IP com o
ponto de acesso, usar opcionalmente a segurança e outras configurações.
Configuração Adicional
Configuração de IP
•Adicione o endereço IP ao roteador do ponto de acesso, como 192.168.0.1/24
Adicione o endereço IP ao roteador do cliente, o endereço deve ser da mesma sub-rede como
192.168.0.2/24
•Verifique a comunicação IP executando ping na estação (por exemplo),

Configuração de ponto de acesso adicional
•Todas as configurações necessárias para o ponto de acesso simples são mostradas aqui .
•Os perfis de segurança são usados para proteção WPA / WPA2; as opções de configuração
são explicadas aqui . Normalmente, todos os clientes sem fio compartilham a mesma configuração de
segurança que o ponto de acesso.
•mode = ap-bridge permite clientes de 2007, a contagem máxima de estações é usada para limitar o
número de clientes sem fio por ponto de acesso. Modo sem fio = ponte é usada para links sem fio
ponto a ponto e permite a conexão de apenas uma estação.
•O nível 4 da licença do MikroTik RouterOS é mínimo para mode = ap-bridge
•Outras configurações sem fio são ( http://wiki.mikrotik.com/wiki/Category:Wireless explicado aqui)
Configuração adicional da estação
•A estação se adapta à frequência do ponto de acesso sem fio, apesar da configuração de frequência
no menu Sem fio. A estação usa a lista de varredura para selecionar o ponto de acesso disponível.
Quando o modo supercanal é usado no ponto de acesso sem fio, defina a frequência personalizada do
ponto de acesso como mode = lista de varredura da estação .
Manual: Fazendo um AP sem fio simples

Este artigo mostrará uma visão geral muito rápida para iniciantes sobre como configurar um ponto de
acesso sem fio na ferramenta de configuração gráfica RouterOS Winbox.
Exigências
•um roteador executando o RouterOS carregado com placas sem fio miniPCI suportadas
•uma conexão com o roteador através do utilitário Winbox
Instruções
Comece abrindo a janela Interface sem fio no Winbox. Você verá algumas placas sem fio listadas aqui;
elas podem estar desativadas - para ativá-las, clique no botão azul Ativar . Verifique se a interface
está configurada e se as antenas estão conectadas antes de ativar uma interface.
Para configurar uma interface, clique duas vezes em seu nome e a janela de configuração será
exibida. Para definir o dispositivo como um ponto de acesso, escolha o modo " ap bridge ". Você
também pode definir outras coisas, como a banda desejada, a frequência, o SSID (o identificador de
PA) e o perfil de segurança.
•
Você provavelmente deseja que seu AP seja seguro, portanto, você precisa configurar a segurança
WPA2. Feche a janela de configuração da conexão sem fio com OK, se tiver terminado, e vá para
a guia Perfis de segurança da janela da interface Sem fio . Lá, crie um novo perfil com
o botão Adicionar e defina as configurações WPA2 desejadas. Você pode escolher esse novo perfil de
segurança na configuração da interface .
•
Para ver se alguma estação está conectada ao seu AP, vá para a guia Tabela de registro na janela
Interface sem fio .
•
Apenas conectar-se provavelmente não é suficiente, pois seu AP precisa de um endereço IP. Isso pode
ser configurado no menu IP . Certifique-se de que suas estações também tenham endereços IP da
mesma sub-rede ou configure um servidor DHCP neste roteador (não abordado neste tutorial).
•
Se o seu provedor de serviços de Internet não conhece sua nova rede local e não configurou rotas
apropriadas, você precisa configurar o SRC-NAT para que suas estações tenham acesso à Internet
por meio de seus endereços IP privados. Eles serão mascarados pela funcionalidade NAT do roteador
(não abordada neste tutorial)
•
Limites do usuário de avaliação

Limitações da largura de banda do usuário de avaliação
A partir do RouterOS v6.34rc12, foram adicionadas opções adicionais para a limitação da largura de
banda do usuário para avaliação de hotspot. O usuário de teste agora tem sua própria entrada na
tabela de usuários: "teste padrão". O mesmo da entrada de usuário padrão, você pode aplicar
limitações de largura de banda a ela:
•Limitar o tempo de atividade (Usado se o limite de tempo de atividade no perfil do servidor estiver
definido como "0")
•Limitar bytes em
•Limitar bytes fora
•Total de bytes limite
Se apenas esta entrada de usuário de avaliação padrão estiver lá. Em seguida, os limites aplicados
nele serão usados para todos os servidores de ponto de acesso neste dispositivo. No entanto, se você
tiver vários servidores de ponto de acesso em execução no dispositivo e desejar limites de usuário de
avaliação diferentes para cada um deles. Então, o que você precisa fazer é criar um usuário individual
chamado "teste padrão", cada um atribuído ao servidor necessário.
Um campo adicional que é permitido para modificação neste usuário é:
•Rotas
Nota: O restante dos campos de entrada de usuário de avaliação padrão

são somente leitura e não são modificáveis.
Exemplos de configuração
Dois usuários "de teste padrão" foram adicionados, além de um que já foi adicionado pelo sistema, que
permanece inalterado e inativo.
As entradas estáticas adicionadas conterão estatísticas combinadas de todos os usuários de avaliação

criados dinamicamente. E cada entrada dinâmica do usuário conterá apenas suas próprias estatísticas
pelo endereço mac ao qual está atribuída.
Nota: Você também pode digitar valores-limite como "10M", "100M" etc.
Exemplo em cli
Nota: Você também pode digitar valores-limite como "10M", "100M" etc.
usuário de hotspot / ip
add comment = "contadores e limites para usuários de avaliação" limit-
bytes-total = 100000000 nome = servidor de avaliação padrão =
hotspot2.lan
add comment = "contadores e limites para usuários de avaliação" limit-
bytes-total = 300000000 nome = servidor de avaliação padrão =
hotspot1.lan
[admin @ LOW-hotspot]> detalhes da impressão do usuário do hotspot / ip

Sinalizadores: * - padrão, X - desativado, D - dinâmico
0 * ;;; contadores e limites para usuários de teste
name = "teste padrão" limit-bytes-total = 500000 tempo de atividade
= 0s bytes-in = 0 bytes-out = 0 pacotes-in = 0 pacotes-out = 0
1 nome = senha "teste" = perfil "teste" = tempo de atividade padrão =

entrada de 0s = saída de 0 bytes = 0 entrada de pacotes = 0 entrada de
pacotes = 0 saída de pacotes = 0
2 ;;; contadores e limites para usuários de teste

server = hotspot2.lan nome = "teste-padrão" senha = "" perfil =
padrão limite-bytes-total = 100000000 tempo de atividade = 36s
entrada de bytes = 48198739 saída de bytes = 51814030 entrada de
3 ;;; contadores e limites para usuários de teste

server = nome do hotspot1.lan = "senha de teste padrão" = "" perfil
= limite-bytes-total padrão = 300000000 tempo de atividade = 2m59s
entrada de bytes = 145477719 saída de bytes = 204557092 entrada de
Servidor 4 D = nome do hotspot2.lan = "T-E8: 50: 8B: 1C: 95: 7D" senha =
"" endereço mac = E8: 50: 8B: 1C: 95: 7D perfil = tempo limite limite
padrão = 30m
total de bytes-limite = 100000000 tempo de atividade = entrada de
36s = 48198739 saída de bytes = 51814030 entrada de pacotes = 49958 saída
de pacotes = 48374
Servidor 5 D = nome do hotspot1.lan = "T-E8: 50: 8B: 1C: 95: 7D" senha =
"" endereço mac = E8: 50: 8B: 1C: 95: 7D perfil = tempo limite limite
padrão = 30m
total de bytes-limite = 300000000 tempo de atividade = 2m30s bytes
de entrada = 144501472 bytes de saída = 155509849 entrada de pacotes =
150786 saída de pacotes = 154342
Notas laterais
configurações para o usuário de avaliação como:
•Limite de tempo de atividade experimental

•Redefinição do tempo de atividade experimental
•Perfil de usuário de avaliação
Você ainda configura em cada uma das entradas específicas do perfil do servidor de hotspot sob as
quais você usará esse perfil de avaliação.
Exemplo em cli
/ ip hotspot profile set (número ou nome do perfil) trial-uptime-limit =
00: 30: 00 trial-uptime-reset = 1d trial-user-profile = default

Microtik

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Microtik

Enviado por

Direitos autorais:

Formatos disponíveis

Controle de pais

Submenu: /ip kid-control

•Acesso à Internet para deficientes na segunda, quarta e sexta-feira

A limitação de acesso à Internet é implementada adicionando regras de filtro de firewall dinâmico ou

[admin @ MikroTik]> / ip firewall filter print

1 D ;;; Telefone celular, controle infantil

2 D ;;; Telefone celular, controle infantil

Fila simples criada dinamicamente:

[admin @ MikroTik]> / fila de impressão simples

1 D ;;; Telefone celular, controle infantil

É possível monitorar quantos dados usam dispositivos específicos:

[admin @ MikroTik]> / ip kid-control device imprimir estatísticas

Sinalizadores: X - desativado, D - dinâmico, B - bloqueado, L - limitado,

[admin @ MikroTik]> / pausar o controle de crianças Peter

Configurações adicionais podem ser definidas dependendo do modelo do RouterBOARD. A maioria

1) Execute o utilitário Winbox

2) Navegue para "Vizinhos"

3) Veja se o Winbox encontra seu roteador e seu endereço MAC

Info: a descoberta de vizinhos Winbox descobrirá todos os roteadores na rede de transmissão

4) Se você vir o roteador na lista, conecte-o clicando no endereço IP / MAC e pressionando

Siga o manual do winbox para obter mais informações.

Existem várias maneiras de acessar a CLI:

•Menu do terminal Winbox

115200bit / s, 8 bits de dados, 1 bit de parada, sem paridade, controle

9600bit / s, 8 bits de dados, 1 bit de parada, sem paridade, controle de

MMM MMM KKK TTTTTTTTTTT KKK

MikroTik RouterOS 4.15 (c) 1999-2010 http://www.mikrotik.com/

A descrição detalhada do login da CLI está na seção do processo de login .

MMM MMM KKK TTTTTTTTTTT KKK

MikroTik RouterOS 3.16 (c) 2008 http://www.mikrotik.com/

Terminal ansi detectado, usando o modo de entrada de linha única

Agora você pode começar a configurar o roteador, emitindo o comando setup .

A melhor maneira de conectar os fios conforme descrito na caixa:

Fazendo login no roteador

Contas de usuário do roteador

•Endereço IP que você pode usar

•Endereço DNS para resolução de nomes

Configurando conversão de endereço de rede (NAT)

Campos essenciais para o baile de máscaras funcionar:

•ativado está marcado;

Na tela apresentada, você verá a seguinte tela:

Resolução de nomes de domínio

O resultado de pressionar + duas vezes resultará em 2 campos para endereços IP de DNS:

Nota: O preenchimento de um valor aceitável no campo tornará o rótulo do

Para que isso aconteça, várias coisas precisam ser verificadas:

Aviso: a alteração das configurações pode afetar a conectividade com o

Quando os detalhes da interface são abertos, procure a configuração da porta principal .

•Usando Adicionar novo, crie um novo perfil;

Nota: Ao configurar isso, você pode desmarcar Ocultar senhas no

Na seção Geral , ajuste as configurações conforme mostrado na captura de tela. Considere-os

Bridge LAN com Wireless

Aparência final da ponte configurada com todas as portas necessárias

Solução de problemas e configuração avançada

Alterar senha do usuário atual

Alterar senha do usuário existente

•Se o disfarce estiver configurado corretamente;

•Se todos os pacotes forem respondidos;

Frequências e largura do canal

Canal # Frequência Abaixo Acima

Uso de frequência sem fio

Alterar configurações do país

•Vá para o menu sem fio e selecione Modo avançado ;

Procurar atributo País e, no menu suspenso, selecione o país

Comando de linha de comando comparável: