Curso: Mikrotik histrico, caractersticas e instalao e configurao bsicas Ministrante: Jos Ferreira Neto Bio resumida: Bacharel em sistemas

s de informao, formado pela CEULJI Campus de Ji-paran/RO em 02/2008 Blogueiro, desenvolvedor web em CMS WordPress, Joomla e Xoops. Manuteno e Suporte em redes, servidores e equipamentos de informtica, sistemas operacionais Linux e Windows, Mikrotik. Currculo: http://lattes.cnpq.br/2399116495344293

Jos Ferreira Neto | http://veiadigital.com.br

O que o Mikrotik Na verdade Mikrotik uma empresa que fabrica equipamentos para redes de computadores, principalmente wireless, da Latvia (Letnia), Mikrotik RouterOS o sistema operacional, principal produto da empresa Mikrotik. O Mikrotik RouterOS um sistema operacional baseado em Linux que permite que qualquer plataforma x86 se torne um poderoso roteado dotado de funes, como: VPN, Proxy, Hotspot, Controle de banda, QoS, Firewal, entre outras que variam de acordo com a licena adquirida do sistema.
Jos Ferreira Neto | http://veiadigital.com.br

Com o sistema Mikrotik RouterOS possvel criar uma rede segura, com firewall eficiente, concatenao de links (juntar vrios links num s equipamento). O sistema conta tambm com o suporte de protocolos de roteamento, como BGP, RIP, OSPF, MPLS, entre outros, de acordo com a licena obtida.
O que muda nos nveis de licena so limitaes de algumas funes, mas todas permitem funes suficientes para administrar um provedor de internet tradicional.
3

Jos Ferreira Neto | http://veiadigital.com.br

Usado em aeroportos, hotis, provedores de wireless, grandes empresas como firewall, balanceamento de redes, etc.

Caractersticas bsicas Pode ser acessado diretamente ou remotamente, com o uso de ferramentas, como Winbox (GUI), Console (CLI), WEB (remoto), Dude. Funes/modos de operaes principais Roteador dedicado Bridge com filtros em layer2 Firewall com layer7 e diversos filtros Controle de velocidade, garantia de banda, burst, hierarquia e disciplinas de filas Ponto de Acesso Wireless modo 802.11 e proprietrio, cliente wireless WDS, NSTREME, NSTREME Dual Concentrador PPPoE, PPtP, IPSeC, L2TP, etc. Roteador de Borda Servidor Dial-in e Dial - out Hotspot e gerenciador de usurios WEB Proxy (cache de pginas e arquivos) Recursos de Bonding, VRRP, etc. Virtualizao com Xen e MetaRouter Linguagem avanada de scripts Roteamento com OSPF, MPLS, BGP, etc. Ferramentas: watchdog, bandwidth test, torch

Jos Ferreira Neto | http://veiadigital.com.br

Sites de referncia | onde obter suporte

Ingls Mikrotik - Pgina oficial RouterBoard - Pgina oficial Encontros MUM - Pgina oficial Treinamentos Oficiais - Pgina oficial
Portugus Manual Passo a Passo em Portugus CATVBRASIL Belluno Tecnologia Comunidade Under-Linux Site oficial da Mikrotik Manaus Especialista em Mikrotik Lista de placas-mes/redes compatveis pode ser obtido aqui http://wiki.mikrotik.com/wiki/Supported_Hardware

Jos Ferreira Neto | http://veiadigital.com.br

Jos Ferreira Neto | http://veiadigital.com.br

Objetivo do minicurso
Rotear uma conexo originada do modem e direcionar para uma placa de rede secundria, para uma lan-house com 10 computadores;

O que preciso ter para configurar o servidor Placa-me de boa qualidade/marca; 2 Placas de rede compatveis com o sistema; HD; Sinal de rede (Link/ADSL); Conhecimentos de rede (Protocolo TCP/IP, mascaramento, entre outros); Planejamento (todo projeto deve ser planejado);
Jos Ferreira Neto | http://veiadigital.com.br

Passos iniciais
Jos Ferreira Neto | http://veiadigital.com.br

1) Gravar imagem do sistema em CD; 2) Configurar o computar para bootar pelo driver de CD/DVD; 3) Marcar os pacotes que deseja instalar; 4) Instalar; 5) Registrar a licena de uso do sistema;
8

Obs: A verso que usaremos ser a 3.20, nvel 6 e Trial;

Instalao Aps os passos descritos anteriormente, a tela inicial do sistema ser esta:
Jos Ferreira Neto | http://veiadigital.com.br

Pressione a letra A e depois I, para selecionar e instalar os pacotes do sistema.

Instalao Aps a instalao, o sistema ser aberto como na imagem abaixo:

Jos Ferreira Neto | http://veiadigital.com.br

10

Para acessar basta digitar admin e senha em branco

Configurao inicial Vamos fazer toda a configurao visualmente, usando um aplicativo chamado Winbox. Plugue um cabo de rede em uma das placas de rede instalada, usando um cabo padro 568A ou 568B (mesmo com conexo nula/limitada voc tem acesso ele, pois o Mikrotik possibilita o acesso via endereo MAC (endereo fsico da placa de rede)); Ou coloque o servidor na mesma rede (via HUB/Switch/AP) e acesse via terminal.
Jos Ferreira Neto | http://veiadigital.com.br

11

Configurao inicial Acessando via Winbox

Jos Ferreira Neto | http://veiadigital.com.br

12

Acesse usando o MAC. Clique no boto [...] e o servidor deve aparecer na lista, se ele estiver na mesma rede.

Configurao inicial Tela iniciar do Mikrotik via Winbox

Jos Ferreira Neto | http://veiadigital.com.br

13

Acesse usando o MAC.

Configurao inicial Primeira coisa fazer verificar quais placas (interfaces) o Mikrotik reconheceu. Clique em Interfaces

Jos Ferreira Neto | http://veiadigital.com.br

14

Configurao inicial Veja que no exemplo o Mikrotik reconheceu duas placas de rede, uma chamada eth0 (cabeada) e outra wlan1, wireless (sem fio).

Jos Ferreira Neto | http://veiadigital.com.br

D dois cliques sobre a placa (identificar, exemplo: Entrada ou Link. Vamos usar LINK.
Repita o processo para a Wlan1, coloque como CLIENTES.
15

No exemplo estamos recebendo o sinal da internet via cabo (eth1) e vamos distribuir via wireless (wlan1).

Configurao inicial

Existem vrias formas de configurar o Mikrotik para funcionar, a forma que descrevemos abaixo leva menos que 5 minutos.
O qu voc precisa saber antes: - Gateway da rede; - Endereo dos servidores DNS; Passo a passo: 1 passo : configurar IP de entrada (placa que recebe a rede/internet); 2 passo: configurar IP de sada (placa que vai enviar para a rede/clientes); 3 passo: Definir o Gateway de sada; 4 passo: Definir os endereos de DNS's; 5 passo: Habilitar o NAT (Network Address Translation -> traduz os endereos e portas TCP/IP para a internet); Pronto! Seu servidor Mikrotik j est funcionando!
Jos Ferreira Neto | http://veiadigital.com.br

16

1 passo : configurar IP de entrada (placa que recebe a rede/internet);

Suponhamos que eu tenha um modem ADSL ligado placa de rede eth0 (geralmente a onboard, quando reconhecida) e que o IP desse modem seja 192.168.1.254, pronto, sabemos quem o Gateway; A configurao da placa de entrada (eth0) ser na mesma classe que o Gateway, ou seja, 192.168.1.x (O "x" pode ser qualquer nmero de 1 253, j que o 254 est ocupado pelo Gateway), vamos configurar ento a eth0 (LINK) como 192.168.1.1. Clique em IP e em Addresses (imagem abaixo)
Jos Ferreira Neto | http://veiadigital.com.br

17

Jos Ferreira Neto | http://veiadigital.com.br

18

Clique no +

Jos Ferreira Neto | http://veiadigital.com.br

19

Address: IP do Mikrotik/Mscara Network e Broadcast Interface: Placa que recebe o sinal de internet/red.

Na tela do Winbox, clique em IP/Addresses, clique no sinal de mais (+) em vermelho e em Address, digite o IP que ser o do Mikrotik - tem que estar na mesma classe do modem, se esse for o de entrada, portanto, digite 192.168.1.1/24 (esse /24 para determinar a mscara de sub-rede, ex: se for 255.255.255.0, significa que os trs primeiros octetos sero ocupados, ento 3x8=24). Em interface escolha a placa de entrada, que ser a eth0 ou o nome que voc deu ela e clique em Apply (aplicar) que os campos Network e Broadcast sero automaticamente preenchidos com base na range que voc digitou.

Jos Ferreira Neto | http://veiadigital.com.br

20

Jos Ferreira Neto | http://veiadigital.com.br

Vamos agora configurar a rota

21

Em Gateway coloque o IP do gateway e automaticamente dever associar placa de rede (LINK)

Agora temos que digitar o IP do Gateway no campo Gateway e se for o IP correto, automaticamente o campo Interface definir a placa que tem acesso ao modem.

Jos Ferreira Neto | http://veiadigital.com.br

22

O prximo passo configurar os DNSs: Vai em IP/DNS, clique em SETTINGS Voc pode usar o DNS que quiser, no caso estamos usando do Google

Jos Ferreira Neto | http://veiadigital.com.br

23

O prximo passo configurar o NAT, que traduz os endereos e portas TCP/IP para a internet (fora da rede local). Clique em IP/FIREWALL Em CHAIN escolha SRCNAT Em OUT INTERFA CE escolha a placa de rede LINK
Jos Ferreira Neto | http://veiadigital.com.br

24

Agora clique, na mesma janela, na guia ACTION e defina como MASQUERADE, como abaixo: . Agora clique na aba ACTION e em ACTION escolha MASQUERADE
Jos Ferreira Neto | http://veiadigital.com.br

25

Acabamos de criar uma regra no IPTables que determina que todos os endereos de rede sero traduzidos para um nico IP, que no caso o do LINK.
Jos Ferreira Neto | http://veiadigital.com.br

Pronto!!! Isto j deve fazer a internet funcionar, clique em TOOLS/PING e em PING TO: digite o IP ou um endereo de algum site (no exemplo usamos o www.google.com.br) e veja o retorno. Voc pode usar: TOOLS/PING ou NEW TERMINAL

ping www.google.com.br
26

Em ADDRESS digite o IP/Mscara de rede de sada, ex: 192.168.0.1/24 e selecione CLIENTES em INTERFACE e clique em APPLY.

Prximo passo, configurar a interface de sada, ou seja, a interface que distribuir a rede para seus clientes (por isso demos o nome de CLIENTES) .

Jos Ferreira Neto | http://veiadigital.com.br

27

NETWORK e BROADCAST sero preenchidos automaticamente

Em INTERFACE selecione a placa LINK, que j tem um DHCP configurado (modem).

DHCP Client: o DHCP definido pelo modem ou um servidor criado para gerar a faixa de IP da rede

Vamos criar o servidor DHCP, Primeiro vamos informar o DHCP do modem, para isso, clique em IP/DHCP CLIENT. .
Jos Ferreira Neto | http://veiadigital.com.br

28

Desmarque a opo Use Peer DNS pois vamos usar o DNS configurado anteriormente e esse DNS configurado o que vem do modem/provedor; Deixe marcado: Use Peer NTP, pois o Gerenciador de Data, padro do provedor; Deixe marcado tambm Add Default routes para que seja adicionada a rota padro;
29

A 1 linha sempre a ltima que foi adicionada

A interface LINK a que tem um DHCP configurado, que do modem.

Jos Ferreira Neto | http://veiadigital.com.br

Verifique em IP/ROUTES se a rota foi adicionada

Se deu certo a configurao o gateway ser automaticamente adicionado como DNS primrio, verifique em IP/DNS e em SETTINGS
Jos Ferreira Neto | http://veiadigital.com.br

30

DHCP Client: o DHCP definido pelo modem ou um servidor criado para gerar a faixa de IP da rede

Vamos configurar o Servidor DHCP, que criar a faixa de IP dos clientes, porm antes disso temos que definir qual IP inicial e final. Para isso, vamos criar o POOL, clicando em IP/POOL.
Jos Ferreira Neto | http://veiadigital.com.br

31

Em NAME coloque POOL, em ADDRESS, coloque: 192.168.0.2-192.168.0.100 ou seja, as mquinas dos clientes recebero IP partir do 2 at o 100. (inicial-final)

Em ADDRESS, digite o IP inicial - final, ex: 192.168.0.2192.168.0.100, que vai aps o Gateway ou do Mikrotik, at onde voc quiser, sempre bom colocar fora da faixa que contm o IPs reservados (Observe que eu deixei o 192.168.0.1, que o IP do Mikrotik). Agora podemos criar o DHCP SERVER. Para isto, clique em IP/DHCP SERVER, e clique no sinal de + ou use o boto CONFIG, que descreve o processo passo a passo.
32

Jos Ferreira Neto | http://veiadigital.com.br

NAME: Nome amigvel para o servidor DHCP, em interface, selecione CLIENTES (destino para a nova range DHCP) , LEASE TIME o tempo em que o DHCP ser renovado, o padro 3d 00:00:00 - 3 dias... Ideal (0d 12:00:00) 12 horas. Marque a opo ADD ARP FOR LEASES Em ADDRESS POOL marque o POOL criado;

Jos Ferreira Neto | http://veiadigital.com.br

33

Falta definir a rede (NETWORK), o novo Gateway, entre outras configuraes. Configure conforme abaixo:
Jos Ferreira Neto | http://veiadigital.com.br

34

ADDRESS -> endereo de rede, que foi criado automaticamente quando foi configurado o IP da placa de rede. A NETMASK a mesma /24 DNS Servers ser sempre o IP do Mikrotik (no nosso caso), pois este que ser o gateway dos clientes.

O prximo passo impedir que um cliente roube o IP e outro ou que algum roube seu sinal de internet, para isto vamos amarrar o IP ao MAC. Com o MAC do cliente e o IP em mos (voc pode tambm pegar esses dados (se os clientes j estiverem conectados, claro) em WIRELESS e clicando na aba REGISTRATION.
Jos Ferreira Neto | http://veiadigital.com.br

35

IP ADDRESS: IP do cliente MAC ADDRESS: MAC da placa de rede

Jos Ferreira Neto | http://veiadigital.com.br

36

Onde obter MAC e IP do cliente.

Jos Ferreira Neto | http://veiadigital.com.br

37

De posse das informaes, basta cadastrar.

Jos Ferreira Neto | http://veiadigital.com.br

38

Agora vai em INTERFACE, d dois cliques na interface LINK e altere ARP para Reply-only (Somente repetir).

Clique em QUEUES e em + e entre com as informaes, como no exemplo abaixo:

Jos Ferreira Neto | http://veiadigital.com.br

MAX LIMIT: Faixa de conexo (mnimo/mximo) em Kilobyte.

39

NAME-: Nome do Cliente TARGET ADDRESS-> IP do cliente

Bloqueio bsico de sites por IP Antes de bloquear um site/servio pense nos efeitos colaterais que ele vai surtir. Primeiramente d um PING no site que deseja bloquear e verifique o host dele. Ex: Vamos bloquear o ORKUT

Jos Ferreira Neto | http://veiadigital.com.br

40

Veja que ele retornou 74.125.36.4 Como o Google tem vrios servidores para garantir que milhes de pessoas tenham acesso ao servio, necessrio configurar para o host: 74.125.36.0/24

Marque ENABLE, defina a porta 3128 ou 6588, as demais configuraes alterem como desejar ou deixe como est.
Jos Ferreira Neto | http://veiadigital.com.br

41

Para bloquear o site vamos usar o WEB-PROXY, clique em IP/WEB-PROXY

Em CHAIN selecione DSTNAT, em PROTOCOL selecione 6(TCP) Em IN. INTERFACE selecione a placa dos CLIENTES. [...]
Jos Ferreira Neto | http://veiadigital.com.br

42

Para que o WEB-PROXY, funcione adequadamente, necessrio criar uma regra em IP/FIREWALL/NAT

Essa regra faz com que todo acesso (porta 80) passe pelo proxy primeiro, para saber se o site est bloqueado/pode ser acessado.
Jos Ferreira Neto | http://veiadigital.com.br

43

Na mesma janela, clique na aba ACTION, em ACTION escolha REJECT (rejeitar) e TO PORT digite a porta do WEB-PROXY

Deve usar o host do site/servio, do contrrio (no caso do Orkut/Hotmail/etc) quando o cliente acessar em outro servidor, no se bloqueado.
Jos Ferreira Neto | http://veiadigital.com.br

44

Volte para o IP/WEB-PROXY, clique em + e: Em DST ADDRESS: digite o IP do site que deseja bloquear e em ACTION: selecione DENY

Veja o resultado:

Jos Ferreira Neto | http://veiadigital.com.br

45

Em SCR. ADDRESS voc pode colocar um IP especfico de um cliente para bloquear o orkut somente dele.

Jos Ferreira Neto | http://veiadigital.com.br

Consideraes finais Como vimos nesse minicurso, no muito dificil criar um servidor Mikrotik, bastando ter um conhecimento sobre redes e procurar entender como funciona as ferramentas disponveis do sistema e mos obra.

46

Agradecimentos Coordenao do curso de Sistemas de Informao e principalmente ao professor Michel, pela confiana e oportunidade. Aos que participaram do curso e espero que o mesmo seja til.
Jos Ferreira Neto | http://veiadigital.com.br

47

Contato: Email: netto.inf@gmail.com Blog: http://veiadigital.com.br Twitter: http://twitter.com/netto_info Facebook: http://facebook.com/nettoinfo