Escolar Documentos
Profissional Documentos
Cultura Documentos
Neste menu, é possível criar um perfil para cada Kid e restringir a acessibilidade à Internet.
Propriedade Descrição
nome ( sequência ) Nome do perfil infantil
seg, ter, qua, qui, sex, sáb, Cada dia da semana. A hora do dia é selecionada,
dom ( hora ) quando o acesso à Internet deve ser permitido
desativado ( sim | não ) Se as restrições estão ativadas
limite de taxa ( string ) Taxa de dados máxima disponível para fluxo
tur-mon, tur-terça, quarta-
tur, tur-qui, tur-fri, tur- Taxa de tempo ilimitado. A hora do dia é selecionada,
quando o acesso à Internet deve ser ilimitado
SAT, tur-sol ( tempo )
Os parâmetros de taxa de tempo ilimitado têm prioridade mais alta que o parâmetro
de limite de taxa .
Aparelhos
Submenu: /ip kid-control device
Este submenu contém informações se houver vários dispositivos conectados à Internet (telefone,
tablet, console de jogos, TV etc.). O dispositivo é identificado pelo endereço MAC que é recuperado da
tabela ARP. O endereço IP apropriado é retirado de lá.
Propriedade Descrição
nome ( sequência ) Nome do dispositivo
endereço mac ( string ) Endereço mac dos dispositivos
usuário ( string ) A qual perfil anexar o dispositivo
zerar contadores ( [id, nome] ) Redefina os contadores de bytes acima e abaixo.
Exemplo
No exemplo a seguir, restringiremos o acesso ao telefone móvel Peters:
Também é possível pausar todas as restrições e, em seguida, retomá- las sempre que você desejar:
•Acesso à CLI (Command Line Interface ) via Telnet, SSH, cabo serial ou até teclado e monitor, se o
seu roteador tiver uma placa VGA.
•Acessando a GUI baseada na Web ( WebFig )
•Usando o utilitário de configuração WinBox (aplicativo Windows, compatível com Wine)
Todo roteador é pré-configurado de fábrica com o endereço IP 192.168.88.1/24 na porta ether1. O
nome de usuário padrão é admin sem senha. Depois de fazer o login pela primeira vez, crie um novo
usuário com uma senha no grupo "completo", faça login novamente e exclua o usuário administrador
padrão. É altamente recomendável que você siga as diretrizes gerais do artigo Protegendo seu
roteador para proteger o dispositivo contra qualquer acesso não autorizado.
Winbox
O Winbox é um utilitário de configuração que pode se conectar ao roteador via protocolo MAC ou IP. A
versão mais recente do winbox pode ser baixada da nossa página de download .
Conectando a um dispositivo
Observe que pode levar até um minuto para baixar todos os plugins se o winbox estiver conectado ao
protocolo MAC
5) Depois que o winbox tiver baixado com êxito os plugins e autenticado, a janela principal será
exibida:
Se o winbox não encontrar roteadores, verifique se:
•) Seu computador Windows está conectado diretamente ao roteador com um cabo Ethernet ou eles
estão no mesmo domínio de broadcast
•) Como a conexão MAC funciona na Camada2, é possível conectar-se ao roteador mesmo sem a
configuração adequada do endereço IP, mas isso pode ser necessário porque a maioria dos drivers
não habilita a pilha IP se não houver configuração IPv4.
Devido ao uso da transmissão, a conexão MAC não é estável o suficiente para ser usada
continuamente, portanto, não é aconselhável usá-la em uma rede real de produção / ao vivo !. A
conexão MAC deve ser usada apenas para a configuração inicial.
QuickSet e WebFig
Se você possui um roteador com configuração padrão, o endereço IP do roteador pode ser usado para
conectar-se à interface da Web. A primeira tela a aparecer será o QuickSet, onde você pode definir a
senha e as configurações básicas para proteger seu dispositivo. Para configurações mais avançadas,
clique no botão WebFig para abrir o modo Avançado, que possui quase a mesma funcionalidade de
configuração do Winbox .
CLI
A Command Line Interface (CLI) permite a configuração das configurações do roteador usando
comandos de texto. Como há muitos comandos disponíveis, eles são divididos em grupos organizados
de maneira a níveis hierárquicos de menu. Siga o manual do console para obter sintaxe e comandos
da CLI.
Cabo serial
Se o seu dispositivo tiver uma porta serial, você pode usar um cabo do console (ou cabo de modem
nulo )
Conecte uma extremidade do cabo serial à porta do console (também conhecida como porta serial ou
porta serial assíncrona DB9 RS232C) do RouterBOARD e a outra extremidade no seu PC (que,
esperançosamente, executa o Windows ou Linux). Você também pode usar um adaptador USB-
serial. Execute um programa de terminal (HyperTerminal ou Putty no Windows) com os seguintes
parâmetros para todos os modelos do RouterBOARD, exceto 230:
Se os parâmetros estiverem definidos corretamente, você poderá ver o prompt de login. Agora você
pode acessar o roteador digitando nome de usuário e senha:
MikroTik 4.15
MikroTik Login:
[admin @ MikroTik]>
Monitor e teclado
Se o seu dispositivo tiver uma placa gráfica (por exemplo, PC comum), basta conectar um monitor ao
conector da placa de vídeo do computador (nota: os produtos RouterBOARD não possuem isso, use o
método 1 ou 2) e veja o que acontece na tela. . Você deverá ver um login como este:
MikroTik v3.16
Conecte-se:
Digite admin como o nome de login e pressione Enter duas vezes (porque ainda não há senha), você
verá esta tela:
Este método funciona com qualquer dispositivo que possua uma placa de vídeo e um conector de
teclado
Sumário
Parabéns, você adquiriu o roteador MikroTik para sua rede doméstica. Este guia o ajudará a fazer a
configuração inicial do roteador para tornar sua rede doméstica um local seguro.
O guia é voltado principalmente para o caso de a configuração padrão não o levar à Internet
imediatamente, no entanto, algumas partes do guia ainda são úteis.
Fios de conexão
A configuração inicial do roteador deve ser adequada para a maioria dos casos. A descrição da
configuração está na parte de trás da caixa e também é descrita no manual online .
•Conecte o fio Ethernet do seu provedor de serviços de Internet (ISP) à porta ether1 , o restante das
portas do roteador são para LAN (rede de área local). Neste momento, seu roteador está protegido
pela configuração padrão do firewall, portanto você não deve se preocupar com isso;
•Conecte os fios da LAN ao restante das portas.
Configurando o roteador
A configuração inicial possui o cliente DHCP na interface WAN (ether1), o restante das portas é
considerado sua rede local com o servidor DHCP configurado para configuração automática de
endereço nos dispositivos clientes. Para conectar-se ao roteador, é necessário configurar o
computador para aceitar as configurações DHCP e conectar o cabo Ethernet a uma das portas LAN
(consulte routerboard.com para obter a numeração das portas do produto que você possui ou verifique
o painel frontal do roteador) .
É uma boa idéia começar com a configuração da senha ou adicionar um novo usuário para que o
roteador não seja acessível por ninguém na sua rede. A configuração do usuário é feita
no menu Sistema -> Usuários .
Para acessar esse menu, clique em Sistema no painel esquerdo e, no menu suspenso,
escolha Usuários (conforme mostrado na captura de tela à esquerda)
Você verá esta tela, onde você pode gerenciar usuários do roteador. Nesta tela, você pode editar ou
adicionar novos usuários:
•Quando você clica no nome da conta (neste caso, admin ), a tela de edição para o usuário será
exibida.
•Se você clicar no botão Adicionar novo , a nova tela de criação de usuário será exibida.
Ambas as telas são semelhantes às ilustradas na captura de tela abaixo. Após editar os dados do
usuário, clique em OK (para aceitar alterações) ou em Cancelar . Isso o levará de volta à tela inicial do
gerenciamento de usuários.
Na edição do usuário / Adicionar nova tela, você pode alterar o usuário existente ou criar um novo. O
campo marcado com 2. é o nome do usuário, o campo 1. abrirá a tela de senha, onde a senha antiga
do usuário poderá ser alterada ou adicionada uma nova (veja a captura de tela abaixo).
Configurar o acesso à Internet
Se a configuração inicial não funcionou (o seu ISP não está fornecendo o servidor DHCP para
configuração automática), você precisará obter detalhes do seu ISP para a configuração estática do
roteador. Essas configurações devem incluir
Endereço IP estático
Para gerenciar endereços IP do roteador, abra 'IP -> Endereço'
Você terá um endereço aqui - o endereço da sua rede local (LAN) 192.168.88.1 que você está
conectado ao roteador. Selecione Adicionar novo para adicionar um novo endereço IP estático à
configuração do seu roteador.
Você precisa preencher apenas os campos marcados. O campo 1. deve conter o endereço
IP fornecido pelo seu ISP e máscara de rede '. Exemplos:
172.16.88.67/24
essas duas notações significam o mesmo, se o seu provedor de serviços de Internet forneceu um
endereço em uma notação ou na outra, use uma fornecida e o roteador fará o restante do cálculo.
Outro campo de interesse é a interface que este endereço será atribuído. Esta deve ser a interface à
qual o seu ISP está conectado, se você seguiu este guia - interface contém nome - ether1
Nota: Enquanto você digita o endereço, o webfig calcula se o endereço
digitado é aceitável, se o rótulo do campo não ficar vermelho, caso contrário,
ficará azul
Nota: É uma boa prática adicionar comentários sobre os itens para fornecer
algumas informações adicionais para o futuro, mas isso não é obrigatório
Para verificar se você possui o NAT de origem, abra 'IP -> Firewall -> guia NAT' e verifique se o item
destacado (ou similar) está em sua configuração.
Deve ficar assim quando você pressiona o botão + e insere o gateway no campo exibido.
Depois disso, você pode pressionar o botão OK para concluir a criação da rota padrão.
Nesse momento, você deve conseguir acessar qualquer host disponível globalmente na Internet
usando o endereço IP.
Para verificar se a adição do tempo do gateway padrão foi bem-sucedida, use Ferramentas -> Ping
Isso pode ser feito em 'IP -> DNS -> Configurações', primeiro Abra 'IP -> DNS':
Em seguida, selecione Configurações para configurar o DNS cacher no roteador. Você precisa
adicionar um campo para inserir o endereço IP do DNS, seção 1. na imagem abaixo. e
marque Permitir solicitações remotas marcadas com 2.
Para fazer isso, vá para 'Sistema -> SNTP', onde é necessário habilitá-lo, primeira marca, alterar o
modo de difusão para unicast, para que você possa usar servidores NTP globais ou fornecidos pelo
ISP, que permitirão inserir endereços IP do servidor NTP em terceira área.
Configurando o Wireless
Para facilitar o uso, será usada a configuração sem fio em ponte, para que os hosts com fio estejam no
mesmo domínio de transmissão Ethernet que os clientes sem fio.
•As interfaces Ethernet designadas para LAN são comutadas ou em ponte ou são portas separadas;
•Se existir interface de ponte;
•O modo de interface sem fio está definido como ap-bridge (no caso, o roteador possui nível de licença
4 ou superior); caso contrário, o modo deve ser definido como bridge e apenas um cliente (estação)
poderá se conectar ao roteador usando rede sem fio;
•Há um perfil de segurança apropriado criado e selecionado nas configurações da interface.
Verifique o estado da interface Ethernet
Para verificar se a porta Ethernet está comutada, em outras palavras, se a porta Ethernet estiver
configurada como escrava de outra porta, vá para o menu 'Interface' e abra os detalhes da interface
Ethernet. Eles podem ser distinguidos pela coluna Tipo, exibindo Ethernet .
Verifique se todas as portas Ethernet LAN pretendidas estão definidas como portas escravas do
restante de uma das portas LAN. Por exemplo, se ether2. ether3, ether4 e ether5 são destinados como
portas LAN, configurados em ether3 para ether5 que atribuem Porta Mestre a ether2 .
Caso esta operação falhe - significa que a interface Ethernet é usada como porta na ponte, você deve
removê-las da ponte para ativar a comutação de pacotes de hardware entre as portas Ethernet. Para
fazer isso, vá para Bridge -> Ports e remova as portas escravas (por exemplo, ether3 para ether5 ) da
guia.
Nota: Se a porta principal estiver presente como porta de ponte, tudo bem, a
configuração pretendida exige isso, o mesmo se aplica à interface sem fio ( wlan )
Perfil de segurança
É importante proteger sua rede sem fio, para que nenhum ato malicioso possa ser executado por
terceiros usando o ponto de acesso sem fio.
Para editar ou criar um novo perfil de segurança, vá para 'Sem fio -> guia' Produtos de segurança 'e
escolha uma das duas opções:
Neste exemplo, criarei um novo perfil de segurança, editando-o bastante. As opções que precisam ser
definidas são destacadas com as opções de leitura e recomendadas, destacadas por caixas vermelhas
e predefinidas para os valores recomendados. O WPA e o WPA2 são usados, pois ainda existem
equipamentos herdados (laptops com Windows XP, que não suportam WPA2 etc.)
A chave pré-compartilhada WPA e a chave pré-compartilhada WPA2 devem ser inseridas com
comprimento suficiente. Se o comprimento da chave for muito curto, o rótulo do campo indicará que,
ao ficar vermelho, quando o comprimento for atingido, ele ficará azul.
Nota: As chaves pré-compartilhadas WPA e WPA2 devem ser diferentes
O modo de interface deve ser configurado como ap-bridge , se isso não for possível (restrições de
licença) definido como bridge, para que um cliente possa se conectar ao dispositivo.
Os dispositivos WiFI geralmente são projetados com os modos de 2,4 GHz em mente, definir a faixa
para 2 GHz-b / g / n permitirá que clientes com 802.11b, 802.11ge 802.11n se conectem ao ponto de
acesso
Ajuste a largura do canal para permitir taxas de dados mais rápidas para clientes 802.11n. No
exemplo, o canal 6 é usado, como resultado, 20 / 40MHz HT Acima ou 20/40 MHz HT Abaixo pode ser
usado. Escolha um deles.
Defina SSID - o nome do ponto de acesso. Será visível quando você procurar redes usando seu
equipamento WiFi.
Na seção HT , altere as cadeias de transmissão e recepção HT. É uma boa prática habilitar todas as
cadeias
disponíveis
Quando as configurações são definidas adequadamente, é hora de ativar nosso ponto de acesso sem
fio
protegido
A primeira área marcada é onde as interfaces adicionadas como portas à interface de ponte são
visíveis. Se não houver portas adicionadas, escolha Adicionar novo para adicionar novas portas às
interfaces de ponte criadas.
Quando uma nova porta de ponte for adicionada, selecione se está ativada (parte da configuração
ativa), selecione a interface correta da ponte, seguindo este guia - deve haver apenas 1 interface. E
selecione a porta correta - porta principal da interface LAN e porta WiFi
Geral
Verifique o endereço IP
Adicionar endereço IP com máscara de rede incorreta resultará em configuração de rede
incorreta. Para corrigir esse problema, é necessário alterar o campo de endereço , primeira seção, com
endereço e máscara de rede corretos e o campo de rede com a rede correta ou desmarcá-lo, para que
seja recalculado novamente
Para alterar a senha do usuário atual, o lugar seguro para ir é Sistema -> Senha
Onde todos os campos devem ser preenchidos. Há outro lugar onde isso pode ser feito, caso você
tenha privilégios totais no roteador.
Os passos são:
•Selecione usuário;
•digite a senha e digite-a novamente para saber que você deseja definir
Sem acesso à Internet ou rede ISP
Se você seguiu este guia à risca, mas mesmo assim você pode se comunicar apenas com os hosts
locais e todas as tentativas de conexão à Internet falharem, há algumas coisas a serem verificadas:
/ interface ethernet set ether1 mac-address = XX: XX: XX: XX: XX: XX: XX
Ou entre em contato com o seu ISP para obter detalhes e informar que você mudou de dispositivo.
Verificando link
Existem certas coisas necessárias para o link Ethernet funcionar:
•As luzes de atividade do link acendem quando o fio Ethernet é conectado à porta
•O endereço IP correto está definido na interface
•A rota correta está definida no roteador
O que procurar usando a ferramenta ping:
Está localizado aqui: Ferramenta -> Menu Ping . Preencha o campo Ping To e pressione start para
iniciar o envio de pacotes ICMP.
Sem fio
Recursos sem nome sem fio no guia que são bons sobre. Ajustes de configuração.
•Ferramenta de monitoramento de uso de frequência aberta Freq. Uso ... localizado nos detalhes da
interface sem fio;
•Aguarde um pouco enquanto os resultados da verificação são exibidos. Faça isso por um minuto ou
dois. Números menores na coluna " Uso" significam que o canal está menos cheio.
Nota: O monitoramento é realizado nos canais padrão do País selecionado na
configuração. Por exemplo, se o país selecionado fosse a Letônia, haveria 13
frequências listadas, pois nesse país são permitidos 13 canais.
Nota: O modo avançado é o botão de alternância que muda do modo simples para o
avançado e vice-versa.
Encaminhamento de porta
Para disponibilizar serviços em servidores / hosts locais para o público em geral, é possível
encaminhar portas de fora para dentro da rede NAT, isso é feito no menu nat do / ip firewall . Por
exemplo, para possibilitar que o suporte remoto se conecte à área de trabalho e o guie, disponibilize o
cache de arquivos local quando você não estiver no local, etc.
Configuração estática
Muitos usuários preferem configurar essas regras estaticamente, para ter mais controle sobre qual
serviço é acessível externamente e o que não é. Isso também deve ser usado quando o serviço que
você está usando não suporta configuração dinâmica.
A regra a seguir encaminhará todas as conexões para a porta 22 no endereço IP externo do roteador
para a porta 86 em seu host local com o endereço IP definido:
se você precisar que outros serviços estejam acessíveis, poderá alterar o protocolo conforme
necessário, mas geralmente os serviços estão executando TCP e dst-port. Se a mudança de porta não
for necessária, por exemplo. o serviço remoto é 22 e o local também é 22; então, as portas podem ficar
sem configuração.
Configuração dinâmica
O uPnP é usado para habilitar a configuração dinâmica de encaminhamento de porta, na qual o
serviço que você está executando pode solicitar o roteador usando o uPnP para encaminhar algumas
portas.
Aviso: Os serviços dos quais você não está ciente podem solicitar
encaminhamento de porta. Isso pode comprometer a segurança da sua rede
local, seu host executando o serviço e seus dados
Quando as alterações necessárias forem feitas, aplique as configurações para retornar à guia Acesso .
Para adicionar uma regra de amostra para negar o acesso a qualquer host que contenha
example.com, faça o seguinte ao adicionar nova entrada:
Com essa regra, qualquer host que tenha example.com ficará inacessível.
Estratégias de limitação
Existem duas abordagens principais para esse problema
•negar apenas as páginas que você sabe que deseja negar (A)
•permitir apenas determinadas páginas e negar tudo o resto (B)
Para abordagem A cada site que precisa ser negado é adicionado com Ação definida como Negar
Para a abordagem B, cada site que precisa ser permitido deve ser adicionado com Ação definida
como Permitir e, no final, regra, que corresponde a tudo com Ação definida como Negar .
•porta serial
•console (tela e teclado)
•telnet
•ssh
•mac-telnet
•terminal winbox
A entrada e validação do nome de usuário e senha são feitas pelo processo de login. O processo de
login também pode mostrar diferentes telas informativas (licença, lembrete de atualização da versão
demo, informações sobre as chaves do software, configuração padrão).
O processo do console exibe a nota do sistema , as últimas entradas críticas do log , detecta
automaticamente o tamanho e os recursos do terminal e exibe o prompt de comando ]. Depois disso,
você pode começar a escrever comandos.
Use a seta para cima para recuperar comandos anteriores do histórico de comandos, a tecla TAB para
concluir automaticamente as palavras no comando que você está digitando, a tecla ENTER para
executar o comando e Control-C para interromper o comando atualmente em execução e retornar ao
prompt.
A maneira mais fácil de sair do console é pressionar Control-D no prompt de comando enquanto a
linha de comando estiver vazia (você pode cancelar o comando atual e obter uma linha vazia com
Control-C, para que Control-C seguido de Control-D registre você na maioria dos casos).
Parâmetros de login adicionais podem ser anexados ao nome de login após o sinal '+'.
Se o parâmetro não estiver presente, o valor padrão será usado. Se o número não estiver presente,
será utilizado o valor implícito do parâmetro.
exemplo: admin + c80w - desativará as cores do console e definirá a largura do terminal para 80.
O banner real pode ser diferente do mostrado aqui se for substituído pelo distribuidor. Veja
também: branding .
Licença
Após o login pela primeira vez após a instalação, você será solicitado a ler as licenças de software.
Após inserir a chave de software válida, as seguintes informações são mostradas após o login:
A aplicação e remoção da configuração padrão é feita usando o script do console (você pode
pressionar 'v' para revisá-lo).
Pronto
•[admin @ MikroTik] / interface> - Prompt de comando padrão, mostra o nome do usuário, a
identidade do sistema e o caminho do comando atual.
•[admin @ MikroTik] / interface <SAFE> - Prompt indica que a sessão do console está no
modo de segurança.
•[admin @ MikroTik] >> - O prompt indica que o HotLock está ativado.
•{(\ ... - Ao digitar várias linhas, o prompt de continuação de comandos mostra parênteses abertos.
•linha 2 de 3> - Ao editar o prompt de comando de várias linhas, mostra o número da linha atual e
a contagem de linhas.
•endereço: - Comando solicita entrada adicional. Prompt mostra o nome do valor solicitado.
O console pode mostrar prompts diferentes, dependendo dos modos e dados ativados que estão
sendo editados. O prompt de comando padrão se parece com o seguinte:
O modo Hotlock é indicado por um caractere amarelo '>' adicional no final do prompt.
É possível escrever comandos que consistem em várias linhas. Quando a linha inserida não é um
comando completo e é esperada mais entrada, o console mostra um prompt de continuação que lista
todos os parênteses, chaves, colchetes e aspas abertos e também controla a barra invertida se a linha
anterior terminar com a barra invertida-espaço em branco.
[admin @ MikroTik]> {
{... :colocar (\
{(\ ... 1 + 2)}
3
Quando você está editando essa entrada de várias linhas, o prompt mostra o número da linha atual e a
contagem total de linhas em vez do nome de usuário e nome do sistema comuns.
Às vezes, os comandos solicitam informações adicionais do usuário. Por exemplo, o comando '/
password' solicita senhas antigas e novas. Nesses casos, o prompt mostra o nome do valor solicitado,
seguido por dois pontos e espaço.
Perguntas frequentes
P: Como desativo as cores no console?
R: Adicione '+ c' após o nome de login.
P: Obrigado, agora a largura do terminal não está correta. Como faço para definir a largura do
terminal?
R: Adicione '+ t80w' após o nome de login, onde 80 é a largura do seu terminal.
Ferramentas de solução de problemas
Antes, examinamos os comandos mais significativos para verificação de conectividade e solução de
problemas. Aqui está um pequeno lembrete sobre como verificar os parâmetros da interface de rede do
computador host.
As janelas da Microsoft têm um conjunto completo de ferramentas úteis de linha de comando que
ajudam a testar e configurar as interfaces LAN / WAN. Examinaremos apenas as ferramentas e
comandos de rede do Windows comumente usados.
ipconfig - usado para exibir os valores de configuração da rede TCP / IP. Para abri-lo, digite
" ipconfig " no prompt de comando.
C: \> ipconfig
Configuração de IP do Windows
Conexão de área local do adaptador Ethernet:
Sufixo DNS específico da conexão. : mshome.net
Endereço IPv6 local do link. . . . . : fe80 :: 58ad: cd3f: f3df: bf18%
8
Endereço IPv4. . . . . . . . . . . : 173.16.16.243
Máscara de sub-rede. . . . . . . . . . . : 255.255.255.0
Gateway padrão. . . . . . . . . : 173.16.16.1
Há também uma variedade de funções adicionais para o ipconfig . Para obter uma lista de opções
adicionais, digite " ipconfig /? " ou " ipconfig -? ".
netstat - exibe as conexões e portas TCP ativas nas quais o computador está ouvindo, estatísticas
Ethernet, tabela de roteamento IP, estatísticas para os protocolos IP, ICMP, TCP e UDP. Ele vem com
várias opções para exibir uma variedade de propriedades da rede e conexões TCP "netstat -?".
nslookup - é uma ferramenta administrativa da linha de comando para testar e solucionar problemas
de servidores DNS. Por exemplo, se você quiser saber qual endereço IP é "www.google.com", digite
" nslookup www.google.com " e você verá que existem mais endereços 74.125.77.99, 74.125.77.104,
74.125.77.147.
netsh - é uma ferramenta que um administrador pode usar para configurar e monitorar computadores
baseados no Windows em um prompt de comando. Permite configurar interfaces, protocolos de
roteamento, rotas, filtros de roteamento e exibir a configuração atualmente em execução.
Comandos muito semelhantes também estão disponíveis em máquinas do tipo unix. Hoje, na maioria
das distribuições Linux, as configurações de rede podem ser gerenciadas via GUI, mas é sempre bom
estar familiarizado com as ferramentas de linha de comando. Aqui está a lista de comandos e
ferramentas básicas de rede no Linux:
iwconfig - a ferramenta iwconfig é como ifconfig e ethtool para placas sem fio. Isso também exibe e
define os detalhes básicos da rede Wi-Fi.
nslookup - forneça um nome de host e o comando retornará o endereço IP.
netstat - imprima conexões de rede, incluindo conexões de portas, tabelas de roteamento, estatísticas
de interface, conexões de máscaras e muito mais. ( netstat - r, netstat - a )
$ ip addr show
ip route adicione {endereço de rede} via {endereço do próximo salto} dev {DEVICE} , por exemplo:
As ferramentas mencionadas são apenas uma pequena parte das ferramentas de rede disponíveis no
Linux. Lembre-se se você quiser detalhes completos sobre as opções de ferramentas e comandos, use
o comando man . Por exemplo, se você quiser conhecer todas as opções
no comando ifconfig write man ifconfig no terminal.
O ping usa o protocolo ICMP (Internet Control Message Protocol) para resposta e solicitação de eco. O
ping envia pacotes de solicitação de eco ICMP para o host de destino e aguarda uma resposta ICMP. A
saída de ping exibe os tempos mínimo, médio e máximo usados para um pacote de ping encontrar um
sistema especificado e retornar.
Do PC:
Janelas:
Tipo Unix:
Do MikroTik:
A operação do traceroute é baseada no valor TTL e na mensagem ICMP "Time Exceeded". Lembre-se
de que o valor TTL no cabeçalho IP é usado para evitar loops de roteamento. Cada salto diminui o
valor TTL em 1. Se o TTL chegar a zero, o pacote será descartado e a mensagem ICMP Time
Excedido será enviada de volta ao remetente quando isso ocorrer.
Inicialmente por traceroute, o valor TTL é definido como 1 quando o próximo roteador encontra um
pacote com TTL = 1, define o valor TTL como zero e responde com a mensagem ICMP "time exceded"
à fonte. Esta mensagem informa à fonte que o pacote atravessa esse roteador específico como um
salto. Na próxima vez, o valor TTL é incrementado em 1 e assim por diante. Normalmente, cada
roteador no caminho em direção ao destino diminui o campo TTL em uma unidade TTL atinge zero.
Usando este comando, você pode ver como os pacotes trafegam pela rede e onde podem falhar ou
diminuir a velocidade. Usando essas informações, você pode determinar o computador, roteador,
switch ou outro dispositivo de rede que possivelmente esteja causando problemas ou falhas na rede.
Do computador pessoal:
Janelas:
Traceroute e tracepath são semelhantes, apenas o tracepath não requer privilégios de superusuário.
Do MikroTik:
Arquivos de log
O recurso de monitoramento de eventos do sistema permite depurar problemas diferentes usando
logs. Arquivo de log é um arquivo de texto criado no servidor / roteador / host que captura diferentes
tipos de atividades no dispositivo. Este arquivo é a principal fonte de análise de dados. O RouterOS é
capaz de registrar vários eventos do sistema e informações de status. Os logs podem ser salvos na
memória, no disco, no arquivo, nos roteadores (RAM), enviados por email ou até mesmo no servidor
syslog remoto.
Todas as mensagens armazenadas na memória local dos roteadores podem ser impressas
no /log menu. Cada entrada contém hora e data em que o evento ocorreu, tópicos aos quais esta
mensagem pertence e a própria mensagem.
Você pode monitorar o tráfego classificado por nome de protocolo, endereço de origem, endereço de
destino, porta. A tocha mostra os protocolos que você escolheu e a taxa de dados tx / rx para cada um
deles.
Exemplo:
O exemplo a seguir monitora o tráfego gerado pelo protocolo telnet, que passa pela interface ether1.
Para ver quais protocolos estão vinculados a um host conectado à interface 10.0.0.144/32 ether1:
PRO .. SRC-ENDEREÇO TX RX
tcp 10.0.0.144 1.01kbps 608bps
icmp 10.0.0.144 480bps 480bps
Ferramenta [admin @ MikroTik]>
Aviso: o tráfego que aparece na tocha ocorre antes de ser filtrado pelo
Firewall. Isso significa que você poderá ver pacotes que podem ser
descartados pelas regras do firewall.
IPv6
A partir da tocha v5RC6, é possível mostrar o tráfego IPv6. Dois novos parâmetros são
introduzidos src-address6 e dst-address6 . Exemplo:
78.7kbps 1010.0kbps
Para que a ferramenta / ping funcione com o nome de domínio que resolve o endereço IPv6, use o
seguinte:
Winbox
A interface do Torch mais atraente está disponível no Winbox (Tool> Torch). No Winbox, você também
pode acionar uma barra de filtro pressionando a tecla F no teclado.
Farejador de pacotes (/ farejador de ferramentas)
O sniffer de pacotes é uma ferramenta que pode capturar e analisar pacotes enviados e recebidos por
uma interface específica. sniffer de pacotes usa o formato libpcap .
No exemplo a seguir , o servidor de streaming será adicionado, o streaming será ativado, o nome do
arquivo será definido para teste e o sniffer de pacotes será iniciado e interrompido após algum tempo:
Existem três comandos usados para controlar a operação de tempo de execução do sniffer de pacotes:
O comando start é usado para iniciar / redefinir o sniffing, stop - pára de sniffing. Para salvar pacotes
detectados no momento em um arquivo específico, o comando save é usado.
Por exemplo:
A figura abaixo mostra a GUI do sniffer no Winbox , que é mais fácil de usar.
A descrição detalhada dos comandos pode ser encontrada no manual >>
•TCP - usa os princípios padrão de operação do protocolo TCP com todos os principais componentes,
como inicialização de conexão, reconhecimento de pacotes, mecanismo de janela de
congestionamento e todos os outros recursos do algoritmo TCP. Consulte o protocolo TCP para obter
detalhes sobre suas configurações de velocidade interna e como analisar seu comportamento. As
estatísticas de taxa de transferência são calculadas usando o tamanho inteiro do fluxo de dados
TCP. Como as confirmações são um trabalho interno do TCP, seu tamanho e uso do link não são
incluídos nas estatísticas de taxa de transferência. Portanto, as estatísticas não são tão confiáveis
quanto as estatísticas de UDP ao estimar a taxa de transferência.
•Tráfego UDP - envia 110% ou mais pacotes do que os atualmente relatados como recebidos no outro
lado do link. Para ver a taxa de transferência máxima de um link, o tamanho do pacote deve ser
definido para a MTU máxima permitida pelos links, que geralmente é de 1500 bytes. Não há
reconhecimento exigido pelo UDP; essa implementação significa que a aproximação mais próxima da
taxa de transferência pode ser vista.
Lembre-se de que o Teste de largura de banda usa toda a largura de banda disponível (por padrão) e
pode afetar a usabilidade da rede.
Se você deseja testar a taxa de transferência real de um roteador, execute o teste de largura de banda
através do roteador que não é dele ou para ele. Para fazer isso, você precisa de pelo menos 3
roteadores conectados em cadeia:
Exemplo de configuração:
Servidor
Cliente
Execute o teste de largura de banda UDP em ambas as direções, o nome do usuário e a senha
dependem do servidor de largura de banda remoto. Nesse caso, o nome do usuário é 'admin' sem
nenhuma senha.
Mais informações e descrição de todos os comandos podem ser encontradas no manual >>
analisador
Profiler é uma ferramenta que mostra o uso da CPU para cada processo em execução no
RouterOS. Ajuda a identificar qual processo está usando a maioria dos recursos da CPU.
O arquivo de suporte é usado para depurar o MikroTik RouterOS e resolver as questões de suporte
mais rapidamente. Todas as informações do MikroTik Router são salvas em um arquivo binário, que é
armazenado no roteador e pode ser baixado do roteador usando FTP. Se necessário, você também
pode gerar arquivos na pasta "/ flash" em dispositivos com memória do tipo FLASH ou unidade de
armazenamento externa, especificando o caminho completo para o arquivo "name = flash /
supout.rif". Você pode visualizar o conteúdo deste arquivo na sua conta Mikrotik , basta clicar em
"Supout.rif viewer" localizado na coluna da esquerda e fazer o upload do arquivo.
Este arquivo contém todas as configurações de roteadores, logs e alguns outros detalhes que ajudarão
o Suporte MikroTik a resolver seu problema. O arquivo não contém informações confidenciais ou
senhas do roteador.
Para salvar o arquivo no seu computador, clique com o botão direito do mouse no arquivo e selecione
"Download" para obter o arquivo de saída de suporte ou simplesmente arraste o arquivo para a área
de trabalho.
Webfig
Para gerar esse arquivo no Webfig, clique em "Make Supout.rif" e depois em "Download" para entrar
no seu computador
Console
Para gerar este arquivo, digite na linha de comando:
As etapas a seguir são recomendadas como proteger seu roteador. É altamente recomendável manter
o firewall padrão; ele pode ser corrigido por outras regras que atendam aos seus requisitos de
configuração. Outros ajustes e opções de configuração para reforçar a segurança do seu roteador são
descritos mais adiante. Para saber quais métodos de segurança são usados internamente pelo
RouterOS, leia o artigo de segurança .
Versão do RouterOS
Comece atualizando sua versão do RouterOS. Algumas versões mais antigas tiveram algumas
fraquezas ou vulnerabilidades que foram corrigidas. Mantenha seu dispositivo atualizado, para garantir
que ele seja seguro. Clique em "verificar atualizações" no Winbox ou Webfig, para atualizar. Sugerimos
que você siga os anúncios em nosso blog de anúncios de segurança para ser informado sobre novos
problemas de segurança.
Acesso a um roteador
Acessar nome de usuário
Altere o nome de usuário padrão admin para outro nome; o nome personalizado ajuda a proteger o
acesso ao seu rotuer, se alguém tiver acesso direto ao seu roteador.
Aviso: use uma senha segura e um nome diferente para o nome de usuário
do seu roteador.
Senha de acesso
Os roteadores MikroTik requerem configuração de senha. Sugerimos usar o pwgen ou outra
ferramenta geradora de senha para criar senhas seguras e não repetitivas,
/senha
É altamente recomendável usar o segundo método ou a interface do Winbox para aplicar a nova senha
ao seu roteador, apenas para mantê-lo protegido contra outros acessos não autorizados.
xxxx / aa - seu sub-rede IP ou de rede com permissão para acessar seu roteador.
Nota: efetue login no roteador com novas credenciais para verificar se o
nome de usuário / senha estão funcionando.
Serviços de roteador
Todos os roteadores de produção precisam ser administrados pelos serviços SSH, Winbox seguro ou
HTTPs. Use a versão mais recente do Winbox para acesso seguro. Observe que nas versões mais
recentes do Winbox, o "Modo seguro" está ativado por padrão e não pode mais ser desativado.
Serviços RouterOS
A maioria das ferramentas administrativas do RouterOS são configuradas em
/ serviço de impressão de ip
e também altere a porta padrão, isso interromperá imediatamente a maioria das tentativas aleatórias
de login do bruteforce SSH:
Além disso, cada entidade de serviço / ip pode ser protegida pelo endereço IP permitido (o serviço de
endereço responderá)
Telnet MAC
Desative os serviços mac-telnet,
MAC-Winbox
Desative os serviços mac-winbox,
MAC-Ping
Desative o serviço mac-ping,
Descoberta de vizinhos
O protocolo de descoberta MikroTik Neighbour é usado para mostrar e reconhecer outros roteadores
MikroTik na rede, desativar a descoberta de vizinhos em todas as interfaces,
Cache DNS
O roteador pode ter o cache DNS ativado, o que diminui o tempo de resolução de solicitações DNS
dos clientes para os servidores remotos. Caso o cache DNS não seja necessário no seu roteador ou
outro roteador seja usado para esses fins, desative-o.
Interface do roteador
Interfaces Ethernet / SFP
É uma boa prática desabilitar todas as interfaces não utilizadas no roteador, para diminuir o acesso
não autorizado ao roteador.
/ interface de impressão
/ conjunto de interfaces x desativado = sim
Firewall
É altamente recomendável manter o firewall padrão ativado. Aqui estão alguns ajustes para torná-lo
mais seguro, certifique-se de aplicar as regras quando entender o que eles estão fazendo.
ND IPv6
Desativar descoberta de vizinho IPv6
Suporte de Hardware
•arquitetura compatível com i386
•SMP - compatível com vários núcleos e várias CPUs
•Mínimo de 32 MB de RAM (máximo de 2 GB com suporte, exceto em dispositivos Cloud Core e
instalações CHR, onde não há máximo)
•Suporte de armazenamento IDE, SATA, USB e flash com espaço mínimo de 64 MB
•Placas de rede suportadas pelo kernel linux v3.3.5 (PCI, PCI-X)
•Lista de compatibilidade de hardware parcial (mantida pelo usuário)
•Suporte para configuração de chip de switch
Instalação
•Manual: Netinstall : instalação completa baseada em rede a partir da placa de rede habilitada para
PXE ou EtherBoot
•Manual: Versão do CHR : RouterOS destinada à execução como uma máquina virtual
•Netinstall: instalação em uma unidade secundária montada no Windows
•Instalação baseada em CD
Configuração
•Acesso baseado em MAC para configuração inicial
•WinBox - ferramenta de configuração da GUI do Windows autônoma
•M: Webfig - interface de configuração avançada baseada na Web
•MikroTik - Ferramenta de configuração baseada em Android e iOS
•Interface de configuração de linha de comando poderosa com recursos de script integrados ,
acessíveis via terminal local, console serial, telnet e ssh
•API - a maneira de criar seus próprios aplicativos de configuração e monitoramento
Restauração de backup
•Salvamento e carregamento de backup de configuração binária
•Exportação e importação de configuração em formato de texto legível por humanos
Firewall
•Filtragem completa
•Origem e destino NAT
•Ajudantes de NAT (h323, pptp, quake3, sip, ftp, irc, tftp)
•Marcas de conexão, roteamento e pacotes internos
•Filtragem por endereço IP e faixa de endereços, porta e faixa de portas, protocolo IP, DSCP e muito
mais
•Listas de endereços
•Correspondente personalizado Layer7
•Suporte IPv6
•PCC - por classificador de conexão, usado em configurações de balanceamento de carga
•Filtragem RAW para ignorar o rastreamento de conexão.
Encaminhamento
•Roteamento Estático
•Roteamento e Encaminhamento Virtual (VRF)
•Roteamento baseado em políticas
•Roteamento de interface
•Roteamento ECMP
•Protocolos de roteamento dinâmico IPv4: RIP v1 / v2, OSPFv2 , BGP v4
•Protocolos de roteamento dinâmico IPv6: RIPng, OSPFv3, BGP
•Detecção de encaminhamento bidirecional ( BFD )
MPLS
•Ligações de Etiqueta Estática para IPv4
•Protocolo de distribuição de etiquetas para IPv4
•Túneis de engenharia de tráfego de RSVP
•Descoberta automática e sinalização baseada em VPLS MP-BGP
•MPLS IP VPN baseado em MP-BGP
•lista completa de recursos MPLS
VPN
•IPSec - modo de túnel e transporte, certificado ou protocolos de segurança PSK, AH e ESP. Suporte
de criptografia de hardware no RouterBOARD 1000 .
•Suporte IKEv2
•Suporte de aceleração de hardware AES-NI para IPSec
•Túnel ponto a ponto ( OpenVPN , PPTP , PPPoE , L2TP , SSTP )
•Recursos avançados de PPP (MLPPP, BCP )
•Túneis simples ( IPIP , EoIP ) Suporte a IPv4 e IPv6
•Suporte de túnel 6to4 (IPv6 sobre rede IPv4)
•VLAN - suporte à LAN virtual IEEE802.1q, suporte Q-in-Q
•VPNs baseadas em MPLS
Sem fio
•Cliente sem fio IEEE802.11a / b / g e ponto de acesso
•Suporte completo para IEEE802.11n
•Protocolos proprietários Nstreme e Nstreme2
•Protocolo NV2
•Sistema de distribuição sem fio (WDS)
•AP virtual
•WEP, WPA, WPA2
•Lista de controle de acesso
•Roaming de cliente sem fio
•WMM
•Protocolo HWMP + Wireless MESH
•Protocolo de roteamento sem fio MME
DHCP
•Servidor DHCP por interface
•Cliente e retransmissão DHCP
•Concessões DHCP estáticas e dinâmicas
•Suporte RADIUS
•Opções personalizadas de DHCP
•Delegação de prefixo DHCPv6 (DHCPv6-PD)
•Cliente DHCPv6
Ponto de acesso
•Acesso Plug-and-Play à rede
•Autenticação de clientes de rede locais
•Contabilidade de Usuários
•Suporte RADIUS para autenticação e contabilidade
QoS
•Sistema de QoS hierárquico de Token Bucket ( HTB ) com suporte a CIR, MIR, burst e prioridade
•Solução simples e rápida para implementação básica de QoS - filas simples
•Equalização dinâmica de taxa de cliente ( PCQ )
Proxy
•Servidor proxy de armazenamento em cache HTTP
•Proxy HTTP transparente
•Suporte ao protocolo SOCKS
•Entradas estáticas de DNS
•Suporte para armazenamento em cache em uma unidade separada
•Suporte ao proxy pai
•Lista de controle de acesso
•Lista de armazenamento em cache
Ferramentas
•Ping, traceroute
•Teste de largura de banda, inundação de ping
•Farejador de pacotes, tocha
•Telnet, ssh
•Ferramentas de envio de e-mail e SMS
•Ferramentas de execução de script automatizadas
•CALEA
•Ferramenta de busca de arquivo
•Gerador de tráfego avançado
Outras características
•Suporte Samba
•Suporte ao OpenFlow
•Bridging - Spanning Tree Protocol (STP, RSTP), firewall de ponte e NAT natting.
•Ferramenta de atualização dinâmica de DNS
•Cliente / servidor NTP e sincronização com o sistema GPS
•Suporte VRRP v2 e v3
•SNMP
•M3P - Protocolo do empacotador MikroTik Packet para links sem fio e ethernet
•MNDP - Protocolo de descoberta de vizinhos MikroTik, suporta CDP (protocolo de descoberta da
Cisco)
•Autenticação e contabilidade RADIUS
•Servidor TFTP
•Suporte à interface síncrona (apenas placas Farsync) (Removido na v5.x)
•Assíncrono - discagem / discagem PPP serial, discagem sob demanda
•ISDN - discagem / discagem, suporte a pacotes de 128K, protocolos de linha Cisco HDLC, x75i, x75ui,
x75bui, discagem sob demanda
Posso usar o roteador MikroTik para conectar-se a um provedor de serviços por meio de uma
conexão T1, T3 ou outra conexão de alta velocidade?
Sim, você pode instalar várias NICs suportadas pelo MikroTik RouterOS ™ e obter seu roteador de
borda, roteador de backbone, firewall, gerenciador de largura de banda, servidor VPN, ponto de
acesso sem fio, HotSpot e muito mais em uma caixa. Por favor, verifique a folha de especificações e
o manual para interfaces suportadas!
Instalação
Como posso instalar o RouterOS?
O RouterOS pode ser instalado com o CD Install ou o Netinstall .
Problemas de licenciamento
Quantas instalações do MikroTik RouterOS ™ uma licença cobre?
A licença é por instalação do RouterOS. Cada roteador instalado precisa de uma licença separada.
A licença expira?
A licença nunca expira. O roteador funciona para sempre. Sua única limitação é para quais versões
você pode atualizar. Por exemplo, se aparecer "Atualizável para a v4.x", significa que você pode usar
todas as versões da v4, mas não a v5. Isso não significa que você não pode permanecer na v4.x pelo
tempo que desejar.
Como posso reinstalar o software MikroTik RouterOS ™ sem perder minha licença de software?
É necessário usar o procedimento de CD, disquete ou Netinstall e instalar o MikroTik RouterOS ™ no
HDD com a instalação anterior do MikroTik RouterOS ™ ainda intacta. A licença é mantida com o
HDD. Não use utilitários de formato ou particionamento, pois eles excluirão sua chave! Use as mesmas
configurações (iniciais) do BIOS para o seu disco rígido!
A transferência de licença para outro disco rígido custa 10 $. Entre em contato com o suporte para
organizar isso.
O que fazer se o meu disco rígido com o MikroTik RouterOS ™ travar e eu precisar instalar
outro?
Se você pagou pela licença, você deve escrever para apoiar [at] mikrotik.com e descrever a
situação. Podemos solicitar que você nos envie o disco rígido quebrado como prova antes de emitir
uma chave de substituição.
O que acontece se meu hardware quebrar novamente e eu perder minha chave de substituição?
O mesmo processo é usado como acima, mas desta vez, precisamos de prova física de que de fato
houve outro incidente.
Se você tiver uma licença demo gratuita, nenhuma chave de substituição poderá ser emitida. Obtenha
outra licença de demonstração ou adquira a licença base.
•importe o arquivo anexado com o comando '/ importação de licença do sistema' (você deve fazer
upload deste arquivo no servidor FTP do roteador)
Digitando a chave com Console / Telnet:
• use copiar / colar para inserir a chave em uma janela Telnet (não importa qual
submenu). Certifique-se de copiar a chave inteira, incluindo as linhas "--BEGIN MIKROTIK
SOFTWARE KEY--" e "--END ENVIAR MIKROTIK SOFTWARE KEY--"
Todas as outras informações sobre chaves de licença podem ser encontradas aqui
All_about_licenses
Atualizando
Como posso instalar pacotes de recursos adicionais?
Você precisa usar os mesmos arquivos de pacote de versão (extensão .npk) que o pacote do
sistema. Use o comando / system package print para ver a lista de pacotes instalados. Verifique o
espaço livre no disco rígido do roteador usando o comando / system resource print antes de carregar
os arquivos do pacote. Verifique se você possui pelo menos 2 MB de espaço livre em disco no roteador
após fazer o upload dos arquivos do pacote!
Carregue os arquivos do pacote usando o modo BINARY ftp no roteador e execute o comando issue /
system reboot para desligar o roteador e reiniciar. Os pacotes são instalados (atualizados) enquanto o
roteador está sendo desligado. Você pode monitorar o processo de instalação na tela do monitor
conectada ao roteador. Após a reinicialização, os pacotes instalados são listados na lista
de impressão de pacotes / system .
Instalei o pacote de recursos adicionais, mas a interface relevante não aparece na lista
de impressão / interface .
Você precisa obter (adquirir) o nível de licença necessário ou instalar o pacote NPK para esta interface
(por exemplo, pacote 'wireless').
Se eu atualizar o RouterOS, perderei minha configuração?
Não, a configuração é mantida intacta para atualizações dentro de uma família de versões. Ao
atualizar as famílias de versões (por exemplo, V2.5 para V2.6), você pode perder a configuração de
alguns recursos que apresentam grandes alterações. Por exemplo, ao atualizar da V2.4, você deve
atualizar para a última versão da 2.4 primeiro.
Quanto espaço livre em disco preciso ao atualizar para uma versão superior?
Você precisa de espaço para o pacote do sistema e os pacotes adicionais que você precisa
atualizar. Depois de carregar os pacotes de versões mais recentes no roteador, você deverá ter pelo
menos 2 MB de espaço livre em disco. Caso contrário, não tente fazer a atualização! Desinstale os
pacotes desnecessários primeiro e atualize os restantes.
Desatualização
Como posso fazer o downgrade da instalação do MikroTik RouterOS ™ para uma versão mais
antiga?
Você pode fazer o downgrade reinstalando o RouterOS ™ de qualquer mídia. A licença do software
será mantida com o HDD, desde que o disco não seja reparticionado / reformatado. A configuração do
roteador será perdida (é possível salvar a configuração antiga, mas esta opção apresenta resultados
imprevisíveis ao fazer o downgrade e não é recomendável usá-lo).
Outra maneira é usar o comando / system package downgrade . Isso funciona apenas se você fizer o
downgrade para 2.7.20 e não inferior. Carregue os pacotes mais antigos no roteador via FTP e use
o comando / system package downgrade .
Esse é um problema típico, no qual você não tem roteamento configurado no gateway principal da
Internet. Desde que você introduziu uma nova rede, você precisa 'informar' sobre ela o seu gateway
principal (seu ISP). Uma rota deve ser adicionada para sua nova rede. Como alternativa, você pode
"ocultar" sua nova rede por meio de mascaramento para obter acesso à Internet. Reserve um tempo
para estudar o Guia de Instalação Básica, onde o problema é descrito e a solução é fornecida.
Como posso alterar o número da porta TCP para serviços telnet ou http, se não quiser usar as
portas 23 e 80, respectivamente?
Você pode alterar as portas alocadas no serviço / ip.
Quando eu uso o endereço IP / máscara no formato 10.1.1.17/24 para minhas regras de filtragem
ou enfileiramento, elas não funcionam.
As regras 'não funcionam', pois não correspondem aos pacotes devido ao endereço / máscara
especificado incorretamente. A forma correta seria:
10.1.1.0/24 para os endereços IP no intervalo 10.1.1.0-10.1.1.255 ou
10.1.1.17/32 para apenas um endereço IP 10.1.1.17.
Como posso mascarar duas sub-redes diferentes usando dois endereços IP externos diferentes
para elas?
Use a regra nat do firewall / ip com chain = srcnat action = nat , especifique o valor do
argumento to-src-address . Deve ser um dos endereços externos do roteador. Se você usar action =
masquerade , o endereço to src não será levado em consideração, pois será substituído
automaticamente pelo endereço externo do roteador.
/ ip firewall mangle
adicionar cadeia = protocolo de encaminhamento = tcp tcp-flags = syn
action = change-mss tcp-mss =! 0-1448 new-mss = 1448
Posso usar o MikroTik como uma ponte e um modelador de tráfego em uma máquina?
Sim. Você pode usar todos os extensos recursos de gerenciamento de filas. Defina a fila como a
interface em que o tráfego está realmente saindo do roteador ao passar pelo roteador. Não é a
interface da ponte! A fila na interface da ponte está envolvida apenas para o tráfego gerado pelo
roteador.
Embora essa solução deva funcionar, ela é fundamentalmente falha, pois o primeiro pacote de cada
conexão destinada a esses clientes não será levado em consideração.
Para upload:
Sumário
O exemplo de configuração mostra como estabelecer uma rede sem fio simples usando o MikroTik
RouterOS. O MikroTik RouterOS é totalmente compatível com os padrões IEEE802.11a / b / g / n,
o dispositivo MikroTik RouterOS pode ser usado como ponto de acesso sem fio e estação sem fio
( outros modos também são suportados).
Configuração
Nossa configuração básica é
Configuração do ponto de acesso
•Conecte-se ao roteador via Winbox
•Instalação Interface sem fio , as opções de configuração necessárias são mode = ap-bridge band =
ap_operated_band frequency = ap_operated_frequency ssid = network_identification
Essas configurações são suficientes para estabelecer a conexão sem fio. Além disso, você precisa
adicionar um endereço IP para a interface sem fio para roteamento IP, opcionalmente, adicionar
segurança e outras configurações.
Configuração da estação
•O exemplo de configuração do cliente sem fio é para o MikroTik RouterOS, a configuração do sistema
operacional de outro fornecedor deve ser consultada na documentação / fórum / lista de discussão
apropriada etc.
•Conecte-se ao roteador cliente da mesma maneira e prossiga para a configuração da interface sem
fio .
•As opções de configuração necessárias são mode = banda da estação = band_ap_operates_on ssid
= ap_network_ssid
Essas configurações são suficientes para estabelecer a conexão sem fio; além disso, você precisa
definir o endereço IP da interface sem fio para estabelecer a comunicação de roteamento IP com o
ponto de acesso, usar opcionalmente a segurança e outras configurações.
Configuração Adicional
Configuração de IP
•Adicione o endereço IP ao roteador do ponto de acesso, como 192.168.0.1/24
Adicione o endereço IP ao roteador do cliente, o endereço deve ser da mesma sub-rede como
192.168.0.2/24
Exigências
•um roteador executando o RouterOS carregado com placas sem fio miniPCI suportadas
•uma conexão com o roteador através do utilitário Winbox
Instruções
Comece abrindo a janela Interface sem fio no Winbox. Você verá algumas placas sem fio listadas aqui;
elas podem estar desativadas - para ativá-las, clique no botão azul Ativar . Verifique se a interface
está configurada e se as antenas estão conectadas antes de ativar uma interface.
Para configurar uma interface, clique duas vezes em seu nome e a janela de configuração será
exibida. Para definir o dispositivo como um ponto de acesso, escolha o modo " ap bridge ". Você
também pode definir outras coisas, como a banda desejada, a frequência, o SSID (o identificador de
PA) e o perfil de segurança.
•
Você provavelmente deseja que seu AP seja seguro, portanto, você precisa configurar a segurança
WPA2. Feche a janela de configuração da conexão sem fio com OK, se tiver terminado, e vá para
a guia Perfis de segurança da janela da interface Sem fio . Lá, crie um novo perfil com
o botão Adicionar e defina as configurações WPA2 desejadas. Você pode escolher esse novo perfil de
segurança na configuração da interface .
•
Para ver se alguma estação está conectada ao seu AP, vá para a guia Tabela de registro na janela
Interface sem fio .
•
Apenas conectar-se provavelmente não é suficiente, pois seu AP precisa de um endereço IP. Isso pode
ser configurado no menu IP . Certifique-se de que suas estações também tenham endereços IP da
mesma sub-rede ou configure um servidor DHCP neste roteador (não abordado neste tutorial).
•
Se o seu provedor de serviços de Internet não conhece sua nova rede local e não configurou rotas
apropriadas, você precisa configurar o SRC-NAT para que suas estações tenham acesso à Internet
por meio de seus endereços IP privados. Eles serão mascarados pela funcionalidade NAT do roteador
(não abordada neste tutorial)
•
•Limitar o tempo de atividade (Usado se o limite de tempo de atividade no perfil do servidor estiver
definido como "0")
•Limitar bytes em
•Limitar bytes fora
•Total de bytes limite
Se apenas esta entrada de usuário de avaliação padrão estiver lá. Em seguida, os limites aplicados
nele serão usados para todos os servidores de ponto de acesso neste dispositivo. No entanto, se você
tiver vários servidores de ponto de acesso em execução no dispositivo e desejar limites de usuário de
avaliação diferentes para cada um deles. Então, o que você precisa fazer é criar um usuário individual
chamado "teste padrão", cada um atribuído ao servidor necessário.
•Rotas
Nota: Você também pode digitar valores-limite como "10M", "100M" etc.
Exemplo em cli
Nota: Você também pode digitar valores-limite como "10M", "100M" etc.
usuário de hotspot / ip
add comment = "contadores e limites para usuários de avaliação" limit-
bytes-total = 100000000 nome = servidor de avaliação padrão =
hotspot2.lan
add comment = "contadores e limites para usuários de avaliação" limit-
bytes-total = 300000000 nome = servidor de avaliação padrão =
hotspot1.lan
Servidor 4 D = nome do hotspot2.lan = "T-E8: 50: 8B: 1C: 95: 7D" senha =
"" endereço mac = E8: 50: 8B: 1C: 95: 7D perfil = tempo limite limite
padrão = 30m
total de bytes-limite = 100000000 tempo de atividade = entrada de
36s = 48198739 saída de bytes = 51814030 entrada de pacotes = 49958 saída
de pacotes = 48374
Servidor 5 D = nome do hotspot1.lan = "T-E8: 50: 8B: 1C: 95: 7D" senha =
"" endereço mac = E8: 50: 8B: 1C: 95: 7D perfil = tempo limite limite
padrão = 30m
total de bytes-limite = 300000000 tempo de atividade = 2m30s bytes
de entrada = 144501472 bytes de saída = 155509849 entrada de pacotes =
150786 saída de pacotes = 154342
Notas laterais
configurações para o usuário de avaliação como: