s de informao, formado pela CEULJI Campus de Ji-paran/RO em 02/2008 Blogueiro, desenvolvedor web em CMS WordPress, Joomla e Xoops. Manuteno e Suporte em redes, servidores e equipamentos de informtica, sistemas operacionais Linux e Windows, Mikrotik. Currculo: http://lattes.cnpq.br/2399116495344293
O que o Mikrotik Na verdade Mikrotik uma empresa que fabrica equipamentos para redes de computadores, principalmente wireless, da Latvia (Letnia), Mikrotik RouterOS o sistema operacional, principal produto da empresa Mikrotik. O Mikrotik RouterOS um sistema operacional baseado em Linux que permite que qualquer plataforma x86 se torne um poderoso roteado dotado de funes, como: VPN, Proxy, Hotspot, Controle de banda, QoS, Firewal, entre outras que variam de acordo com a licena adquirida do sistema.
Jos Ferreira Neto | http://veiadigital.com.br
Com o sistema Mikrotik RouterOS possvel criar uma rede segura, com firewall eficiente, concatenao de links (juntar vrios links num s equipamento). O sistema conta tambm com o suporte de protocolos de roteamento, como BGP, RIP, OSPF, MPLS, entre outros, de acordo com a licena obtida.
O que muda nos nveis de licena so limitaes de algumas funes, mas todas permitem funes suficientes para administrar um provedor de internet tradicional.
3
Usado em aeroportos, hotis, provedores de wireless, grandes empresas como firewall, balanceamento de redes, etc.
Caractersticas bsicas Pode ser acessado diretamente ou remotamente, com o uso de ferramentas, como Winbox (GUI), Console (CLI), WEB (remoto), Dude. Funes/modos de operaes principais Roteador dedicado Bridge com filtros em layer2 Firewall com layer7 e diversos filtros Controle de velocidade, garantia de banda, burst, hierarquia e disciplinas de filas Ponto de Acesso Wireless modo 802.11 e proprietrio, cliente wireless WDS, NSTREME, NSTREME Dual Concentrador PPPoE, PPtP, IPSeC, L2TP, etc. Roteador de Borda Servidor Dial-in e Dial - out Hotspot e gerenciador de usurios WEB Proxy (cache de pginas e arquivos) Recursos de Bonding, VRRP, etc. Virtualizao com Xen e MetaRouter Linguagem avanada de scripts Roteamento com OSPF, MPLS, BGP, etc. Ferramentas: watchdog, bandwidth test, torch
Ingls Mikrotik - Pgina oficial RouterBoard - Pgina oficial Encontros MUM - Pgina oficial Treinamentos Oficiais - Pgina oficial
Portugus Manual Passo a Passo em Portugus CATVBRASIL Belluno Tecnologia Comunidade Under-Linux Site oficial da Mikrotik Manaus Especialista em Mikrotik Lista de placas-mes/redes compatveis pode ser obtido aqui http://wiki.mikrotik.com/wiki/Supported_Hardware
Objetivo do minicurso
Rotear uma conexo originada do modem e direcionar para uma placa de rede secundria, para uma lan-house com 10 computadores;
O que preciso ter para configurar o servidor Placa-me de boa qualidade/marca; 2 Placas de rede compatveis com o sistema; HD; Sinal de rede (Link/ADSL); Conhecimentos de rede (Protocolo TCP/IP, mascaramento, entre outros); Planejamento (todo projeto deve ser planejado);
Jos Ferreira Neto | http://veiadigital.com.br
Passos iniciais
Jos Ferreira Neto | http://veiadigital.com.br
1) Gravar imagem do sistema em CD; 2) Configurar o computar para bootar pelo driver de CD/DVD; 3) Marcar os pacotes que deseja instalar; 4) Instalar; 5) Registrar a licena de uso do sistema;
8
Instalao Aps os passos descritos anteriormente, a tela inicial do sistema ser esta:
Jos Ferreira Neto | http://veiadigital.com.br
10
Configurao inicial Vamos fazer toda a configurao visualmente, usando um aplicativo chamado Winbox. Plugue um cabo de rede em uma das placas de rede instalada, usando um cabo padro 568A ou 568B (mesmo com conexo nula/limitada voc tem acesso ele, pois o Mikrotik possibilita o acesso via endereo MAC (endereo fsico da placa de rede)); Ou coloque o servidor na mesma rede (via HUB/Switch/AP) e acesse via terminal.
Jos Ferreira Neto | http://veiadigital.com.br
11
12
Acesse usando o MAC. Clique no boto [...] e o servidor deve aparecer na lista, se ele estiver na mesma rede.
13
Configurao inicial Primeira coisa fazer verificar quais placas (interfaces) o Mikrotik reconheceu. Clique em Interfaces
14
Configurao inicial Veja que no exemplo o Mikrotik reconheceu duas placas de rede, uma chamada eth0 (cabeada) e outra wlan1, wireless (sem fio).
D dois cliques sobre a placa (identificar, exemplo: Entrada ou Link. Vamos usar LINK.
Repita o processo para a Wlan1, coloque como CLIENTES.
15
No exemplo estamos recebendo o sinal da internet via cabo (eth1) e vamos distribuir via wireless (wlan1).
Configurao inicial
Existem vrias formas de configurar o Mikrotik para funcionar, a forma que descrevemos abaixo leva menos que 5 minutos.
O qu voc precisa saber antes: - Gateway da rede; - Endereo dos servidores DNS; Passo a passo: 1 passo : configurar IP de entrada (placa que recebe a rede/internet); 2 passo: configurar IP de sada (placa que vai enviar para a rede/clientes); 3 passo: Definir o Gateway de sada; 4 passo: Definir os endereos de DNS's; 5 passo: Habilitar o NAT (Network Address Translation -> traduz os endereos e portas TCP/IP para a internet); Pronto! Seu servidor Mikrotik j est funcionando!
Jos Ferreira Neto | http://veiadigital.com.br
16
17
18
Clique no +
19
Address: IP do Mikrotik/Mscara Network e Broadcast Interface: Placa que recebe o sinal de internet/red.
Na tela do Winbox, clique em IP/Addresses, clique no sinal de mais (+) em vermelho e em Address, digite o IP que ser o do Mikrotik - tem que estar na mesma classe do modem, se esse for o de entrada, portanto, digite 192.168.1.1/24 (esse /24 para determinar a mscara de sub-rede, ex: se for 255.255.255.0, significa que os trs primeiros octetos sero ocupados, ento 3x8=24). Em interface escolha a placa de entrada, que ser a eth0 ou o nome que voc deu ela e clique em Apply (aplicar) que os campos Network e Broadcast sero automaticamente preenchidos com base na range que voc digitou.
20
21
Agora temos que digitar o IP do Gateway no campo Gateway e se for o IP correto, automaticamente o campo Interface definir a placa que tem acesso ao modem.
22
O prximo passo configurar os DNSs: Vai em IP/DNS, clique em SETTINGS Voc pode usar o DNS que quiser, no caso estamos usando do Google
23
O prximo passo configurar o NAT, que traduz os endereos e portas TCP/IP para a internet (fora da rede local). Clique em IP/FIREWALL Em CHAIN escolha SRCNAT Em OUT INTERFA CE escolha a placa de rede LINK
Jos Ferreira Neto | http://veiadigital.com.br
24
Agora clique, na mesma janela, na guia ACTION e defina como MASQUERADE, como abaixo: . Agora clique na aba ACTION e em ACTION escolha MASQUERADE
Jos Ferreira Neto | http://veiadigital.com.br
25
Acabamos de criar uma regra no IPTables que determina que todos os endereos de rede sero traduzidos para um nico IP, que no caso o do LINK.
Jos Ferreira Neto | http://veiadigital.com.br
Pronto!!! Isto j deve fazer a internet funcionar, clique em TOOLS/PING e em PING TO: digite o IP ou um endereo de algum site (no exemplo usamos o www.google.com.br) e veja o retorno. Voc pode usar: TOOLS/PING ou NEW TERMINAL
ping www.google.com.br
26
Em ADDRESS digite o IP/Mscara de rede de sada, ex: 192.168.0.1/24 e selecione CLIENTES em INTERFACE e clique em APPLY.
Prximo passo, configurar a interface de sada, ou seja, a interface que distribuir a rede para seus clientes (por isso demos o nome de CLIENTES) .
27
DHCP Client: o DHCP definido pelo modem ou um servidor criado para gerar a faixa de IP da rede
Vamos criar o servidor DHCP, Primeiro vamos informar o DHCP do modem, para isso, clique em IP/DHCP CLIENT. .
Jos Ferreira Neto | http://veiadigital.com.br
28
Desmarque a opo Use Peer DNS pois vamos usar o DNS configurado anteriormente e esse DNS configurado o que vem do modem/provedor; Deixe marcado: Use Peer NTP, pois o Gerenciador de Data, padro do provedor; Deixe marcado tambm Add Default routes para que seja adicionada a rota padro;
29
Se deu certo a configurao o gateway ser automaticamente adicionado como DNS primrio, verifique em IP/DNS e em SETTINGS
Jos Ferreira Neto | http://veiadigital.com.br
30
DHCP Client: o DHCP definido pelo modem ou um servidor criado para gerar a faixa de IP da rede
Vamos configurar o Servidor DHCP, que criar a faixa de IP dos clientes, porm antes disso temos que definir qual IP inicial e final. Para isso, vamos criar o POOL, clicando em IP/POOL.
Jos Ferreira Neto | http://veiadigital.com.br
31
Em NAME coloque POOL, em ADDRESS, coloque: 192.168.0.2-192.168.0.100 ou seja, as mquinas dos clientes recebero IP partir do 2 at o 100. (inicial-final)
Em ADDRESS, digite o IP inicial - final, ex: 192.168.0.2192.168.0.100, que vai aps o Gateway ou do Mikrotik, at onde voc quiser, sempre bom colocar fora da faixa que contm o IPs reservados (Observe que eu deixei o 192.168.0.1, que o IP do Mikrotik). Agora podemos criar o DHCP SERVER. Para isto, clique em IP/DHCP SERVER, e clique no sinal de + ou use o boto CONFIG, que descreve o processo passo a passo.
32
NAME: Nome amigvel para o servidor DHCP, em interface, selecione CLIENTES (destino para a nova range DHCP) , LEASE TIME o tempo em que o DHCP ser renovado, o padro 3d 00:00:00 - 3 dias... Ideal (0d 12:00:00) 12 horas. Marque a opo ADD ARP FOR LEASES Em ADDRESS POOL marque o POOL criado;
33
Falta definir a rede (NETWORK), o novo Gateway, entre outras configuraes. Configure conforme abaixo:
Jos Ferreira Neto | http://veiadigital.com.br
34
ADDRESS -> endereo de rede, que foi criado automaticamente quando foi configurado o IP da placa de rede. A NETMASK a mesma /24 DNS Servers ser sempre o IP do Mikrotik (no nosso caso), pois este que ser o gateway dos clientes.
O prximo passo impedir que um cliente roube o IP e outro ou que algum roube seu sinal de internet, para isto vamos amarrar o IP ao MAC. Com o MAC do cliente e o IP em mos (voc pode tambm pegar esses dados (se os clientes j estiverem conectados, claro) em WIRELESS e clicando na aba REGISTRATION.
Jos Ferreira Neto | http://veiadigital.com.br
35
36
37
38
Agora vai em INTERFACE, d dois cliques na interface LINK e altere ARP para Reply-only (Somente repetir).
Bloqueio bsico de sites por IP Antes de bloquear um site/servio pense nos efeitos colaterais que ele vai surtir. Primeiramente d um PING no site que deseja bloquear e verifique o host dele. Ex: Vamos bloquear o ORKUT
40
Veja que ele retornou 74.125.36.4 Como o Google tem vrios servidores para garantir que milhes de pessoas tenham acesso ao servio, necessrio configurar para o host: 74.125.36.0/24
Marque ENABLE, defina a porta 3128 ou 6588, as demais configuraes alterem como desejar ou deixe como est.
Jos Ferreira Neto | http://veiadigital.com.br
41
Em CHAIN selecione DSTNAT, em PROTOCOL selecione 6(TCP) Em IN. INTERFACE selecione a placa dos CLIENTES. [...]
Jos Ferreira Neto | http://veiadigital.com.br
42
Para que o WEB-PROXY, funcione adequadamente, necessrio criar uma regra em IP/FIREWALL/NAT
Essa regra faz com que todo acesso (porta 80) passe pelo proxy primeiro, para saber se o site est bloqueado/pode ser acessado.
Jos Ferreira Neto | http://veiadigital.com.br
43
Na mesma janela, clique na aba ACTION, em ACTION escolha REJECT (rejeitar) e TO PORT digite a porta do WEB-PROXY
Deve usar o host do site/servio, do contrrio (no caso do Orkut/Hotmail/etc) quando o cliente acessar em outro servidor, no se bloqueado.
Jos Ferreira Neto | http://veiadigital.com.br
44
Volte para o IP/WEB-PROXY, clique em + e: Em DST ADDRESS: digite o IP do site que deseja bloquear e em ACTION: selecione DENY
Veja o resultado:
45
Em SCR. ADDRESS voc pode colocar um IP especfico de um cliente para bloquear o orkut somente dele.
Consideraes finais Como vimos nesse minicurso, no muito dificil criar um servidor Mikrotik, bastando ter um conhecimento sobre redes e procurar entender como funciona as ferramentas disponveis do sistema e mos obra.
46
Agradecimentos Coordenao do curso de Sistemas de Informao e principalmente ao professor Michel, pela confiana e oportunidade. Aos que participaram do curso e espero que o mesmo seja til.
Jos Ferreira Neto | http://veiadigital.com.br
47