FIREWALL – MIKORIKT - PCC / VLAN / NAT

FIREWALL
Lembre-se toda configuração adaptar sua rede
▪ ROTEADOR COM INTERNET
▪ COMO VAMOS TRABALHAR COM 2 LINKS E IMPORTA OS DOIS LINKS ESTAREM
JÁ CONFIGURANDOS . PODE SER FEITO TANTO DHCP CLIENT COMO MANUAL
COMO APRENDEMOS .
▪ Load Balance resumidamente, é a soma
de diversos links fazendo com que a
rede divide a banda igualmente para
todos digamos que temos 2 links de
2MB em teoria teremos 4MB de output
na rede porém você não terá 4MB em
um teste de velocidade. O que ele faz é
dividir 50% da rede sai por um link e
os outros 50% saem pelo outro. E claro
se um link cair toda a rede sai
normalmente por um link apenas isso é
chamado de failover.
▪ IP -> Address
▪ Menu->IP->Routes
▪ Na tela que abrirá, veremos
que já temos algumas rotas
adicionadas dinamicamente
pelo Mikrotik que no caso
são as redes já adicionadas
as portas 1,2 e 3.
▪ Vamos criar uma rota
apertando o “+”.
▪ 1 – rota de destino no caso a internet
0.0.0.0/0
▪ 2 – gateway de saída ( no caso GW IP
do Link – 1 ) ▪ Com isso você vera que será
▪ 3 – clique na seta para baixo para
adicionada uma rota As( significa que
adicionar o novo campo de gateway. é uma rota estática ) para 0.0.0.0/0

▪ 4 – gateway de saída ( no caso o GW

IP do Link – 2 )
▪ 5 – teste de ping nos dos GW caso um
pare ele retornará false para esse GW
▪ Vamos criar dois
NATs para o
roteamento dos
Links 1 e 2 para a
nossa rede, criarei
aqui somente uma
para a eth1 porém
você tem que criar
exatamente igual
para a eth2.

▪ Menu->IP->Firewall-
>NAT
▪ Agora vamos criar marcações dos nossos pacotes para que o Mikrotik possa direciona-los para os links e enviando
informações no pacote para que ele volte pelo mesmo link utilizando o Mangle, faremos a configuração para
somente o link 1 porém você terá que fazer a mesma coisa alterando apenas as nomenclaturas de 1 para 2.

▪ Menu->IP->Firewall->Mangle
▪ Aqui criaremos duas novas rotas ( as duas novas rotas estão em uma única print
que está abaixo ) uma para cada link com o seu respectivo pacote marcado.

▪ Menu->IP->Routes

1 – o GW do Link – 1
2 – o pacote do Mangle marcado para o Link – 1
3 – o GW do Link – 2
4 – o pacote do Mangle marcado para o Link – 2
Bem senhores é isso, agora
basta você derrubar um dos
links ( apenas soltar um dos
cabos ) , e verificar a
comunicação continua
funcional
LEMBRE-SE DE ADAPTAR A SEU MODELO DE REDE E IPS
▪ O padrão IEEE 802.1Q foi desenvolvido para resolver problemas como fazer com que
endereços com altas taxas de dados sejam transformadas em pequenas partes, tanto
para o tráfego de Broadcast como para o de Multicast, fazendo com que usem somente
o necessário da largura de banda. Esse padrão também auxilia na segurança entre
todos os segmentos da rede.

▪ A especificação 802.1Q estabelece um método padrão na inserção de

VirtualLan(VLAN).
Uma rede local virtual, normalmente denominada de VLAN,é uma rede logicamente
independente. Várias VLAN's podem coexistir em um mesmo comutador (switch),de
forma a dividir uma rede local (física) em mais de uma rede (virtual), criando domínios
de broadcast separados.
Uma VLAN também torna possível colocar em um mesmo domínio de broadcast,hosts
com localizações físicas distintas e ligadas a switches diferentes. Um outro propósito de
uma rede virtual é restringir acesso arecursos de rede sem considerar a topologia da
rede.
Vlan: É uma rede virtual cuja te possibilita criar varias rede logicas na mesma rede
física sem se uma ou outra se colidirem
▪ Tipos de VLAN
▪ Portas, endereço MAC, protocolo, endereço IP e camadas superiores.
▪ Portas - Identificação através da porta utilizado do switch. CAMADA FÍSICA
▪ Endereço MAC - Identificação através do endereço MAC. CAMADA DE ENLACE
▪ Protocolo - Identificação através do protocolo de rede que obedecem, IP por
exemplo.
▪ Endereço IP - Identificação através do endereço IP. CAMADA DE REDE
▪ Camadas - Identificação baseada em aplicações ou serviços. CAMADA DE
TRANSPORTE ou APLICAÇÃO
▪ Devido a quantidade de material existe de vlans , passarei dois modelos para que
vocês possam dar passo inicial nas configurações ;
▪ O RouterOS é um sistema completo e poderoso, mas se você não pisa firme nos
conceitos de redes e camada 2 pode tropeçar bastante até entender a coisa.
▪ Inicial – configurar vlan básica para que nos possamos entender
▪ Processo de Produção de alguns cases
▪ 1° click em INTERFACE.
2° click em VLAN.
3° click em ADD.
4° coloque o nome da VLAN.
5° especifique o ID Vlan.
6° INTERFACE é a interface
que sai o cabo para o
Switch.
▪ IP – ADDRESS
▪ DEFINIR IP NA
VLAN.
▪ ADICIONA A O
IP COM O
BARRAMENTO
▪ EXEMPLO :
▪ 192.168.0.1/24
NA INTERFACE
VLAN
▪ ESSA ETAPA ELA
OPCIONAL POIS DEPENDE
DO SEU DESENHO DA SUA
REDE , POIS VOCÊ PODE
TRABALHAR TODO
MANUAL .
▪ SE FOR CRIAR DHCP
LEMBRE-SE DE SEPARAR
UM IP DA FAIXA PARA
COLOCAR NO SWITCH 2
▪ LEMBRANDO QUE DHCP
SERA REPASSA NA
INTERFACE DA VLAN QUE
VOÇE CRIOU
▪ NO CASO EXEMPLO NA
FAIXA VLAN_10
▪ AGORA VAMOS RECEBER A
VLAN FAZENDO MESMO
PROCESSO
▪ 1° click em INTERFACE.
2° click em VLAN.
3° click em ADD.
4° coloque o nome da VLAN.
5° especifique o ID Vlan do
Primeiro Switch que você
criou
6° INTERFACE é a interface
que sai o cabo para o Switch
para primeiro switch.
 192.168.0.2

▪ IP – ADDRESS
▪ DEFINIR IP NA
VLAN, LEMBRE-
SE DA FAIXA
QUE VOCÊ
DEFINIO
▪ SENDO QUE
ESSE SERA O 2
▪ POIS DO
PRIMEIRO
SWITC FOI O 1
▪ AGORA E SO
DAR PING
ENTRE OS IP
PARA VER SE
TEM
COMUNICA
ÇÃO ENTRA
AS VLANS
Dependendo do seu
projeto pode variar o
modelo , nesse modelos
iremos mostrar a unifição
da vlan configurada com
algum switch de setor
separando a rede pela
vlan
Para isso e importante
saber a interface do cabo
do switch do setor com
vamos fazer bridget entre
o interface da vlan e a A figura mostra que existe dois switch de setor que iremos unificar com as
interface do switch As duas vlans.

Foi Criado em Bridge -> +

▪ Agora em Ports
▪ Apertamos no +
▪ E para cada
Bridget criada
vamos unificar sua
vlan criada .
▪ Como no exemplo
▪ SWADM – QUE
UMA BRIDGE foi
colocada a vlan 1 FAÇA TODO ESSE PROCESSO COM SEUS SWITCH COM ISSO ELES
e unificada com ESTARAM SEPARADOS PELA VLANS
ether3 E ASSIM FINALIZAMOS VLANS.
▪ O dst-nat é utilizado para modificar o endereço de destino do cabeçalho de um
pacote. Neste caso, um pacote chega endereçado ao roteador e este se
encarregará de reenviar tal pacote para o endereço e porta(s) de um endereço
dentro de sua rede interna. Este é o famoso “Redirecionamento de portas” ou “Port
forwarding” dos roteadores comuns.
▪ Para configurar o dst-nat, siga os passos abaixo:
▪ Abra o Winbox e acesse “IP” – “Firewall”, em seguida clique na aba “NAT” e no
símbolo de + (mais) para adicionar uma nova regra.
INDENTIFICAR ONDE ESTA O
SERVIÇO QUE SERA PUBLICADO
E SUA PORTA QUE CHEGA E
QUE VAI SER DIRECIONADA

Analisando a img , temos que ler

do seguinte entendimento :

Tudo que esta vindo da placa

ether1 na porta 3306

Com esse entendimento iremos

fazer action
▪ Perceba que para dst-nat, quanto
mais informações você prover para o
Mikrotik, melhor. Isso porque se você
deixar de configurar o “Protocol”,
todos os protocolos serão
redirecionados; Se deixar de
configurar a porta ou o range de
portas, todas as portas serão
redirecionadas; In. Interface é
recomendado, salvo em casos onde a
rede pode vir de apenas uma porta
do roteador.
▪ Agora vamos para a aba “Action”
▪ Lendo temos então vai para o ip
100.22 na porta 3306
▪ Tudo que vem pela
3306 da porta ether1
ser direcionado para
o ip 100.22 na
mesma porta .