Transcript
10/10/13
M i kr oTi k - D e a- Z Par a Todos os Nívei s
Home
Novidades
Recen ecentt Entri Entries e s Most Popu Popula larr Tweetar
Blogs
0
m4d3
Notíc ias
Blogs
Fór uns
Ga ler ia
Calendár io
FAQ Pesquisa Avançada
Mem ember ber Blogs Blogs 0
Share
Curtir
1
Vis ite t ambé m : BR-Linux · V iv aO Linux · LinuxSecurity · Dicas-L · NoticiasLinux · SoftwareLivre.or SoftwareLivre.org g
MikroTik - De a-Z Para Todos os Níveis
+ Criar Blog
m4d3 m4d3
MikroTik - De a-Z Para Todos os Níveis por m4d3 em 20-09-2012 às 09:57 (14158 Visualizações) zações)
16 Comentários
Ir para Perfil Marcar como Lido
MikroTik
DE a-Z PARA TODOS OS NÍ VEI VEIS S
Escrito por: Luciano Rampanelli / M4D3
edico este material material aos amigos online onl ine que conquistei ao longo l ongo destes anos, anos, em special à minha esposa e nossos três filhos Luciano Junior, João Paulo e Pedro, rincipais motivadores m otivadores desta publicação. publicação.
Como bons b ons administradores da multiforme multiform e graça de Deus, cada cada um coloque à isposição dos outros o dom que recebeu” (Pedro recebeu” (Pedro I, v 4 a 10)
Data de Ingresso: Idade: Posts: Posts de Blog:
Aug 2007 36 1.089 9
Categorias de Blog Categorias Globais Art igos Noticias Dicas Reviews Negócios Tutoriais Categorias Loc ai aiss Não Categ oriz orizado ado
Comentários Com entários Recentes Recuperação de RB através do software mikrotik netinstall por EribertoTorres MikroTik - De a-Z Para Todos os Níveis por RickBrito
s práticas relatadas relatadas aqui estão em uso desde 2007 200 7 em diversos d iversos provedores omerciais, passo a dividir divi dir com todos na busca de dias melhores na "internet "internet rasileira". A s técnicas técnicas abordadas são basea baseadas das na experimentação e simulação de cordo com as normas e leis l eis que regem o acesso a internet. internet. A s informações aqui ontidas são parte de algo maior e não foram copiadas ou tomadas em assalto, assalto, mas ão fruto do esforço individual deste que vos escreve. escreve. Faço este documento documento de uso livre para p ara aqueles que assim necessitarem necessitarem para uso pessoal e didático. Exceto para ins comerciais, impressão i mpressão ou divulgação di vulgação sem expressa autorização autorização do autor.
Otimizando banda disponível com MikroTik e técnica de Burst/Threshold por: M4D3 por Conterato Faça v ocê mesmo mesmo seu painel solar economizando economizando até 70 por cento por rubem Repasse de IP Público com exemplo exemplo para PPPoE por: M4D3 por F3RR3LL
Posts Recentes nos Blogs Blogs
_________________________ ____________ __________________________ __________________________ __________________________ _______________ __
onfigurando o MikroTik do Zero amos começar configurando um servidor básico b ásico com serviço de aute autenticaç nticação, ão, scolhi o pppoe pela facilidade e compatibilidade com a maioria dos sistemas omerciais adotados no mercado além é claro do meu gosto pessoal. omecemos escolhendo escolhendo a versão do MikroTik Mikr oTik a utilizar, eu confio e utili zo a bastante bastante empo a versão 3.30, 4.17, 5.11, 5. 11, procuro pro curo manter uma versão estável estável até ter ter onfiança suficiente de que todos os recursos que necessito estejam funcionando de cordo em uma versão mais atua atual, l, que além disso d isso deve ter novos recursos para merecer um upgrade. https://under - l i nux.or g /entr y.php?b= 2948
Recuperação de RB através do software mikrotik netinstall 18-03-2013 14:51 Faça v ocê mesmo mesmo seu painel solar economizando economizando até 70 por cento 21-11-2012 04:36 MikroTik - De a-Z Para Todos os Níveis 20-09-2012 09:57 Fazendo as coisas direito, começando com a RFC1918 por: M4D3 08-10-2011 19:17 DMZ no MikroTik MikroTik para load balance PC C por: M4D3 23-09-2011 06:25
Visitantes Visi tantes Recentes 1/33
10/10/13
M i kr oTi k - D e a- Z Par a Todos os Nívei s
_________________________ ____________ __________________________ __________________________ ________________________ ___________
onfiguração as Interfaces
Adriano Leite Mmn, Mmn , celsonazireu , ericlmarx ericlmarx,, eudesamarelo,, gmgustavocruz eudesamarelo gmgustavocruz,, jailtonnet ltonnet link nk , labrbomfim,, Marco0 labrbomfim Marco0,, marcoantoni marcoantoni,, nanduu
Nuvem de Tags
ito isso vamos definir defini r o nome nom e das interfaces, interfaces, começando com ether1 ether1 que vamos e-nomear para “EthLinkD” que será nossa entrada entrada do link, l ink, este por sua vez pode ter ualquer origem seja um link dedicado ou uma adsl, trataremos disso mais tarde. em ordem o suces sucesso so é uma possibilidade possibi lidade remota, na seqüência vamos agora reomear a interface ether2 ether2 para “EthClientes”, “EthClientes”, que como o próprio própr io nome di z será a interface por onde forneceremos o acesso aos clientes. objetivo deste documento não é ser o mais detalhista possível, mas oferecer uma isão clara de como configurar de m aneira ordenada e lógica qualquer equipamento, metodologia empregada na implantaçã i mplantação o depende muito da necessidade necessidade e pré isposições existentes, existentes, porém questõe questõess como a nomenclatu nomenclatura ra a ser utili zada e a eqüência eqüênc ia só depende da forma de raciocínio de quem esta a configurar e do nível e compreensão pretendido para qualquer usuário q ue acessar acessar o sistema si stema..
painel netinstall potencia recuperar calculo solar energia mikrokti Pesquisar por Tag
Arquivo <
Outubro 2013
D
S
T
Q
Q
S
S
22
23
24
25
26
27
28
29
30
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
1
2
m seguida faremos as definições de IP que q ue são necessárias necessárias ao sistema, note que te agora estamos fazendo o acesso via MAC o que é extremamente lento. upondo que temos um IP roteado disponível para nosso link, seja ele público ou rivado, vou vo u identificar uma classe que servirá de exemplo durante nossas xplanações. lasse de IP: 172.16.50.128/29 172.16 .50.128/29 – Esta será será a classe que recebemos recebemos do roteador (dedicado ou adsl não importa), impo rta), no caso o IP que identifica no gateway será o rimeiro IP 72.16.50.129 e para a configuração do nosso sistema iremos utilizar o P 172.16.50.130/29.
ome do Usuá Senha
Conectar
Registre-se
usca Under-Linux.Org Under-Linux.Org
Cambium 1000
EPMP
www.winncom.com
_________________________ ____________ __________________________ __________________________ __________________________ _______________ __
onfiguração da Rota Default
Winncom - Best Price & Availability In Stock - Get Yours Now!
m seguida devemos inform ar o default gateway gateway 172.16.50.129 172.16. 50.129 na tabela de rotas.
https://under - l i nux.or g /entr y.php?b= 2948
2/33
10/10/13
M i kr oTi k - D e a- Z Par a Todos os Nívei s
_________________________ ____________ __________________________ __________________________ ________________________ ___________
onfiguração as Interfaces
Adriano Leite Mmn, Mmn , celsonazireu , ericlmarx ericlmarx,, eudesamarelo,, gmgustavocruz eudesamarelo gmgustavocruz,, jailtonnet ltonnet link nk , labrbomfim,, Marco0 labrbomfim Marco0,, marcoantoni marcoantoni,, nanduu
Nuvem de Tags
ito isso vamos definir defini r o nome nom e das interfaces, interfaces, começando com ether1 ether1 que vamos e-nomear para “EthLinkD” que será nossa entrada entrada do link, l ink, este por sua vez pode ter ualquer origem seja um link dedicado ou uma adsl, trataremos disso mais tarde. em ordem o suces sucesso so é uma possibilidade possibi lidade remota, na seqüência vamos agora reomear a interface ether2 ether2 para “EthClientes”, “EthClientes”, que como o próprio própr io nome di z será a interface por onde forneceremos o acesso aos clientes. objetivo deste documento não é ser o mais detalhista possível, mas oferecer uma isão clara de como configurar de m aneira ordenada e lógica qualquer equipamento, metodologia empregada na implantaçã i mplantação o depende muito da necessidade necessidade e pré isposições existentes, existentes, porém questõe questõess como a nomenclatu nomenclatura ra a ser utili zada e a eqüência eqüênc ia só depende da forma de raciocínio de quem esta a configurar e do nível e compreensão pretendido para qualquer usuário q ue acessar acessar o sistema si stema..
painel netinstall potencia recuperar calculo solar energia mikrokti Pesquisar por Tag
Arquivo <
Outubro 2013
D
S
T
Q
Q
S
S
22
23
24
25
26
27
28
29
30
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
1
2
m seguida faremos as definições de IP que q ue são necessárias necessárias ao sistema, note que te agora estamos fazendo o acesso via MAC o que é extremamente lento. upondo que temos um IP roteado disponível para nosso link, seja ele público ou rivado, vou vo u identificar uma classe que servirá de exemplo durante nossas xplanações. lasse de IP: 172.16.50.128/29 172.16 .50.128/29 – Esta será será a classe que recebemos recebemos do roteador (dedicado ou adsl não importa), impo rta), no caso o IP que identifica no gateway será o rimeiro IP 72.16.50.129 e para a configuração do nosso sistema iremos utilizar o P 172.16.50.130/29.
ome do Usuá Senha
Conectar
Registre-se
usca Under-Linux.Org Under-Linux.Org
Cambium 1000
EPMP
www.winncom.com
_________________________ ____________ __________________________ __________________________ __________________________ _______________ __
onfiguração da Rota Default
Winncom - Best Price & Availability In Stock - Get Yours Now!
m seguida devemos inform ar o default gateway gateway 172.16.50.129 172.16. 50.129 na tabela de rotas.
https://under - l i nux.or g /entr y.php?b= 2948
2/33
10/10/13
M i kr oTi k - D e a- Z Par a Todos os Nívei s
esultando conforme abaixo em nossa tabela de rotas.
e obtiver resultado diferente do exemplo (como uma ro ta na cor azul), pode ser ue o IP do gateway não tenha sido encontrado na rede ou que não tenha definido orretamente o endereço IP na etapa anterior. _________________________ ____________ __________________________ __________________________ __________________________ _______________ __
onfiguração do DNS amos agora para a configuração de DNS, eu particularmente confio no DNS ratuito OpenDNS, porém devo alertar em em certos casos casos já tive probl ema por onta disso, um exemplo é quando um dos cli ente entess sabendo que utiliza dos serviços o OpenDNS Op enDNS vai até o site si te deste deste serviço e cadastra o/os IP’s utilizados por seu istema e cria regras de bloqueio (muito (mui to úteis inclusive principalmente para limitar erviços indesejados), fazendo isso qualquer resolução de DNS que partir dos IP’s informados na regra de filtro fi ltro passam a ter as limitações impostas em tais filtros, imagine um usuário mal intencionado bloqueando os serviços de redes sociais, i sso iria gerar g erar uma revolta entre os clientes e com certeza não desejamos algo desse ipo. ortanto se utilizar deste serviço tenha certeza de que está imune a condição citada, utro DNS que posso sugerir são do Google Googl e que apresentam apresentam na maioria dos d os casos om tempo de resposta e disponibilidade, disponibi lidade, no geral g eral é o que conta, você pode utilizar s de sua preferência, no exemplo vamos utilizar um DNS do Google e outro do erviço gratuito OpenDNS.
https://under - l i nux.or g /entr y.php?b= 2948
3/33
10/10/13
MikroTik - De a-Z Para Todos os Níveis
oogleDNS: 8.8.8.8/8.8.4.4 penDNS: 208.67.222.222/208.67.220.220 ale ressaltar que a opção “Allow Remote Request” permite utilizar o IP do seu ikroTik para resolução de DNS e cache deste serviço, sendo desejável eu ecomendo que marque esta opção, tendo o cuidado de bloquear requisições vindas e fora do seu sistema para este serviço (90% dos casos). lém disso devemos alterar o “Cache Size” para algo entre 4096 e 8192 ossibilitando armazenar o maior número de endereços DNS no MikroTik local dessa orma agilizando o processo de resolução dos equipamentos cliente quando fizerem so do servidor DNS disponível no MikroTik. endo concluído com sucesso esta primeira etapa faremos um teste de ping para ferir o funcionamento do sistema básico, começando com um teste direto a um ndereço IP. Para tal abra um terminal e di gite: ing 200.221.2.45
resultado tem que ser como acima, se “packet loss” informar algo diferente de 0% ocê tem algum problema de conexão ou então o IP que tentou pingar não esta mais acessível. próximo passo é testar a resposta dos servidores DNS e para isso vamos executar m ping informando o endereço de um site e não o seu IP. ing uol.com.br
https://under-linux.org/entry.php?b=2948
4/33
10/10/13
MikroTik - De a-Z Para Todos os Níveis
resultado deve ser o mesmo anterior. esta vez quando efetuamos uma consulta ao DNS cache do MikroT ik encontramos s resoluções já consultadas e com TT L não expirado.
amos agora definir um DNS próprio para uso nos clientes deste MikroTik em uestão, faremos isso acessando o DNS Static, utilizaremos um IP qualquer que no xemplo será 10.0.0.1.
TTL é o tempo de expiração que vai manter a consulta a este DNS em cache, uando será necessária nova consulta para resolução do endereço, em certos casos interessante manipular este tempo tendo em vista o grande número de solicitações ue podem ser feitas a um mesmo endereço, no caso de haverem poucas mudanças o IP de destino. evemos observar que quando houver a manipulação do T TL padrão o resultado https://under-linux.org/entry.php?b=2948
5/33
10/10/13
MikroTik - De a-Z Para Todos os Níveis
ode ser um destino que aponta para um endereço que não corresponde mais ao ndereço desejado até a renovação da consulta e portanto podendo causar falha no cesso, o MikroTik não suporta manipulação da tabela DNS cache, e se pretende tilizar este serviço recomendo o BIND9 em servidor Linux que além disso oferece muitas outras possibilidades. bserve que após a inserção do “DNS Static” imediatamente a tabela “DNS Cache” oi incrementada e o T TL começa a contar até a próxima renovação.
__________________________________________________________________
onfiguração do Concentrador PPPOE amos agora configurar o serviço PPPOE, chamaremos o serviço de ‘PC.PPPoE’ e elecionando a interface pela qual os clientes farão acesso a este serviço vamos efinir os valores padrões deste servidor. ão faremos nenhuma alteração nos valores de MTU / MRRU / Timeout / Max essions e na maioria dos casos é isso m esmo que recomendo, só altere se houver ma necessidade que de outra forma não pode ser solucionada.
arque “One Session Per Host” se desejar que apenas um usuário conecte para cada adastro de usuário/senha. om relação ao tipo de autenticação suportada pelo serviço até agora entre os istemas comerciais que utilizam o FreeRadius só encontrei autenticação PAP, porém isso pode mudar, se o seu sistema suporta mais de um tipo marque as respectivas pções suportadas, caso contrario basta manter apenas PA P e desmarcar as demais, isso inclusive evita comportamento errôneo de alguns sistemas comerciais em uso oje em dia. ecomendo que busque informações adicionais sobre cada método, isso não vai mudar a sua vida, mas o hábito de pesquisar as opções o tornará apto a responder s mais diversas perguntas quando questionado. https://under-linux.org/entry.php?b=2948
6/33
10/10/13
MikroTik - De a-Z Para Todos os Níveis
bs: se o seu sistema suporta outros métodos eu gostaria de conhecê-lo. amos agora para a configuração do Profil e que nada mais é do que as onfigurações do plano de acesso ao qual o cli ente irá pertencer. o primeiro plano vamos selecionar algo simples para assimilação rápida, vamos hamar de ‘PC.Conecta’ fazendo referencia a um plano de entrada onde o principal bjetivo é que acesso a internet. Sendo este um plano básico não tem como foco a elocidade de acesso, a principal característica deste plano será sua velocidade de cesso limitada em 128kbps para download e 64kbps para upload, o que em teoria eve garantir downloads de até 16kb/s e upload de até 8kb/s.
criando a pool de endereços ip
m “Local A ddress” informaremos o IP que o cliente receberá como gateway e em Remote Address” indicamos a “Pool” de IP ’s a qual o profile pertence, ou seja os P’s que os clientes irão receber após a conexão ter sido estabelecida com o ervidor. Para este primeiro plano vamos criar a “Pool” de nome ‘pool_conecta’ a ual inicia no IP 10.0.0.11 e termina em 10.0.0.249, você deve estar se erguntando porquê não começar no antes e ir até o final dos IP’s, eu faço uma eserva em cada pool quando possível para casos especiais em que eu preciso fixar IP que um determinado equipamento irá receber. omo resultado teremos a tabela IP Pool conforme abaixo:
criando o plano de acesso a criação do profi le ‘PC.Conecta’, selecionamos a ‘pool_conecta’ para o “Remote ddress” e mantemos os campos Bridge / Incomming Filter / O utgoing Filter / ddress List / WINS Server inalterados, bastando para tanto configurar apenas o ampo “DNS Server”.
https://under-linux.org/entry.php?b=2948
7/33
10/10/13
MikroTik - De a-Z Para Todos os Níveis
tilizaremos o próprio MikroTik como servidor DNS primário, isso nos trará a antagem do DNS Cache, como DNS secundário vamos utilizar um DNS qualquer informado pela operadora que pode ser obtido junto ao serviço de atendimento ao liente ou com uma breve busca na internet. Para este caso vamos configurar o ecundário com o SuperDNS servidor 1 cujo endereço é dns1.superdns.com.br e seu ip corresponde a 72.233.55.28, entenda que é apenas um exemplo e não ecomendo este como seu DNS secundário. inda no profile em questão, na aba “General” as opções “Use Compression/Use VJ ompression/Use Encryption” devem ficar na posição ‘no’ e “Change TCP MSS” em yes’, esta segunda pode lhe economizar alguma dor de cabeça com MSN e coisas do ênero e você pode optar por não utili zar as configurações indicadas aqui e ainda ssim não ter problema algum desde que saiba o que esta fazendo, não tenha medo e experimentar pois é também dessa forma que se adquire conhecimento.
https://under-linux.org/entry.php?b=2948
8/33
10/10/13
MikroTik - De a-Z Para Todos os Níveis
a aba “Limits” vamos utilizar as velocidades relativas ao plano sendo que no ikroTik como indicado no campo “Rate Limit” onde deve ser informado primeiro o pload do plano que no caso é o rx do servidor (em relação ao cliente que é quem ai utilizar o profile) e em seguida informar o download que é o tx do servidor com s velocidades separadas por “/” da seguinte forma 64k/128k ou ainda 4000/128000. O campo “Rate Limit” permite configurações bastante diversas com u sem omissão de parâmetros, vale a pena estudar a respeito. xemplo 1: 64000/128000 ou 64k/128k : 51k/102k 64k/128k 40k/81k : 51k/102k 64k/128k 40k/81k 8 : 51k/102k 64k/128k 40k/81k 6 8 : 51k/102k 64k/128k 40k/81k 128/192 8 : 51k/102k 64k/128k 40k/81k 128/192 8 32k/64k omposição do campo “Rate Limit (tx/rx)” [rx-rate/rx-rate][rx-burst-rate/tx-burst-rate][rx-threshold/tx-threshold][rx-time/txime] [prio/prio] [rx-limit-at/tx-limit-at]
cadastro de usuário ara saber mais sobre estas opções consulte o manual do MikroT ik e/ou defina os alores de exemplo em um plano e consulte na tabela “Queue Simple” a fila do suário após conexão. Também pode utilizar usar 1M no lugar de 1024k. Pode-se tilizar k, M ou G. onfigurado o primeiro plano de acesso siga configurando os demais para outras elocidades, mas antes disso voltamos ao servi ço “PC.PPPoE” e alteramos o “Default rofile” para ‘PC.Conecta’.
eguindo com a configuração vamos agora cadastrar o primeiro usuário/cliente para onexão via servidor PPPoE. A cesse o menu “Secrets” e preencha os campos onforme indicado: Name:” testepc Password:” senhapc Profile:” “PC.Conecta” Service:” (pppoe, para outros tipos selecione da lista) Caller ID:” (opcional, cadastre o MAC se quiser amarração) Local Address:” (opcional, pode usar outro IP que será o gateway) Remote Address:” (opcional, IP do cliente que vai pegar do profile)
https://under-linux.org/entry.php?b=2948
9/33
10/10/13
MikroTik - De a-Z Para Todos os Níveis
campo “Caller ID:” pode ser preenchido com o MAC Address do equipamento liente e tem a função de ‘amarrar’ o login/name ao MAC, podemos ainda preencher campo “Remote Address” caso desejemos que este login/name conecte sempre om o mesmo endereço IP. campo “Local Address” é fornecido automaticamente pelo profile selecionado endo este o gateway da conexão PPPoE, podendo ser informado manualmente caso aja necessidade.
uriosidades: em versões antigas (2.x) do MikroTik havia um bug de o cliente onectar e não navegar, a navegação somente era possível quando o mesmo recebia utro IP, esta situação era facilmente evitada preenchendo o endereço do “Local ddress” nos cadastros. __________________________________________________________________
onfiguração do servidor NTP mportante: configurar as informações de data, hora e localização, alguns podem char que é algo desnecessário, eu afirmo que tem muita importância então vamos isso. Primeiro configuramos o “Manual T ime Zone”, no meu caso estou em omodoro que fica no interior do estado de Mato Grosso, sendo assim o “Time one” é -04:00, em seguida acerte os valores da aba “Time”.
a seqüência configuramos o “NT P Cli ent” para manter nosso relógio em incronismo, fazemos isso utilizando os servidores nacionais sendo eles, ‘a.ntp.br’ e b.ntp.br’ ou outro de sua preferência.
ote que ao aplicar a configuração o texto digitado se converte automaticamente no P de cada servidor e para isso utiliza o serviço DNS configurado neste equipamento. https://under-linux.org/entry.php?b=2948
10/33
10/10/13
MikroTik - De a-Z Para Todos os Níveis
__________________________________________________________________
riando o MASCARAMENTO dos IP’s privados este momento dado a natureza dos IP’s que utilizamos na ‘pool _acesso’ vamos riar o mascaramento local para que seja possível o trafego de dados entre os lientes e a internet. cesse IP/Firewall/NA T e insira uma nova regra com as seguintes características: a aba “General” hain: srcnat rc. A ddress: 10.0.0.0/24 (classe destinada aos clientes) ut . Interface: EthLinkD a aba “Action” ction: masquerade ocê pode ter feito esse procedimento dezenas de vezes e de várias maneiras iferentes sem se perguntar por que, neste caso quando fazemos o mascaramento stamos dizendo para o MikroTik que todas as requisições vindas dos clientes (pool_acesso, IP’s 10.0.0.0/24) com saída pela interface “EthLinkD” serão mascaradas pelo NA T, em linhas gerais isso garante que o firewall seja afetado ositivamente para os acessos da sua rede interna, o que isso signi fica? Que quando ocê for fazer utilização de um servidor externo de quaisquer serviços conectados a utra interface que não seja “EthLinkD” (pode ser EthIntranet ou outra qualquer), stes serviços irão registrar o IP individual de quem estiver buscando pelo serviço e ão o IP do servidor o qual seria enviado caso não estivéssemos definindo uma interface especifica para a saída padrão (leia-se rota default).
https://under-linux.org/entry.php?b=2948
11/33
10/10/13
MikroTik - De a-Z Para Todos os Níveis
m exemplo prático são os redirecionamentos para servidores de proxy cache, sem informar a “Out. Interface” o servidor de cache vai entender que todas as requisições ão oriundas do IP do servidor MikroTik que fizer a conexão com o proxy cache, imagine então se for um servidor de firewall e ou autenticações, onde todos os suários chegassem com o m esmo IP. eito isso já podemos conectar nosso primeiro cliente ainda que não tenhamos onfigurado o servidor de cache, e para tanto se faz necessário configurar um iscador pppoe, seja em um rádio ou no próprio sistema operacional do usuário. e posse do usuário e senha cadatrados na “Secrets” conecte um cabo de rede entre interface “EthClientes” e o equipamento que fará a discagem, na maiori a dos casos s rádios suportam auto-MDIX, para micros li gados diretamente ao servidor e placas e rede que não o suportem utilize um cabo de rede crossover.
ttp://en.wikipedia.org/wiki/Ethernet_crossover_cable pós conexão observamos em “Active Connections” a presença da conexão discada o respectivo endereço MAC na coluna “Caller ID”.
a aba “Interface é” possível ver a interface criada pelo pppoe com trafego de tx/rx (download/upload pois o sentido é servidor>cliente)
m “Queue List” na aba “Simple Queue” é possível observar o tráfego do cli ente no ontrole de fil as sendo que os valores instantâneos são para o tráfego que passa elo servidor com destino a internet.
https://under-linux.org/entry.php?b=2948
12/33
10/10/13
MikroTik - De a-Z Para Todos os Níveis
cor vermelha indica que o trafego excede 75% do valor configurado em “Max imit”, outras cores são laranja para 50% e verde para 25%. __________________________________________________________________
ntegração ao sistema de cache NIMOC Power omecemos por configurar a interface que fará a comunicação com o cache, neste aso especifico recomendo a instalação de uma interface com o único propósito de e comunicar com o servidor de cache. amos agora re-nomear a interface ether3 para “EthCache”, que como o próprio ome diz será a interface exclusiva que será conectada ao NIMOC Power. amos agora configurar a conexão entre o MikroTik e o servidor de cache, no ikroTik acesse o menu ‘IP / Address’ e configure o seguinte IP 192.168.10.253/30 a interface “EthCache”, este será o gateway e dns secundário do servidor de cache. eito isso configure o seu servidor de cache N!MOC com as seguintes informações. P A ddress: 192.168.10.254 ascara: 255.255.255.252 ateway: 192.168.10.253 ns primário: 127.0.0.1 ns secundário: 192.168.10.253 ara tanto vamos utilizar o aplicativo ‘niconfig’ que se encontra presente no sistema instalado a partir do N!MOC INSTALLER CD: ento logado como root digite no console do N!MOC Linux: iconfig
aso sua placa de rede seja identificada diferente de ‘eth0’, não há problema apenas lembre em qual interface você configurou o IP para futuras configurações ou onsultas se necessárias.
https://under-linux.org/entry.php?b=2948
13/33
10/10/13
MikroTik - De a-Z Para Todos os Níveis
a seqüencia vamos configurar IP 192.168.10.254 e mascara de rede 55.255.255.252, esta classe possui apenas os 2 IP’s livres para uso que ecessitamos na comunicação entre os dois servidores.
https://under-linux.org/entry.php?b=2948
14/33
10/10/13
MikroTik - De a-Z Para Todos os Níveis
o final clique aceitar sobre a seleção SAIR. ntes que comece a se questionar sobre o que acabamos de fazer e o uso do istema de cache com suporte a T PROXY quero adiantar que dessa forma será ossível e sem nenhuma limi tação o uso do TPROXY tanto para IP’s públicos quanto e IP’s privados, os IP’s configurados acima não influenciam no uso desse recurso e ó servem para o transito das demais classes de IP.
bs: N!MOC Power LYE tem suporte a TPROXY em LINUX/BSD além de muitos utros recursos importantes para a configuração de uma rede profi ssional. ote que os IP’s de gateway e dns indicam que o MikroTik será o gateway e dns ecundário do servidor de cache e portanto todo trafego que o servidor de cache olicitar irá passar pelo MikroTik, para isso devemos configurar o mascaramento esta classe em ‘IP / Firewall / NA T’, adicione uma nova regra da mesma forma que fizemos quando criamos o mascaramento para os clientes.
a aba “General” no campo “Chain” selecione ‘srcnat’ em seguida no campo “Src. ddress:” digite 192.168.10.252/30 que será destinada a comunicação entre o ache e o MikroTik, em seguida no campo “Out Interface” selecione a interface tilizada na comunicação com a internet “EthLinkD”, e por último na aba “Action” e ampo de mesmo nome selecione ‘masquerade’. com isso concluímos o mascaramento da rede que dará suporte ao servidor de ache. ossa tabela NA T deve agora estar como abaixo: https://under-linux.org/entry.php?b=2948
15/33
10/10/13
MikroTik - De a-Z Para Todos os Níveis
gora vamos criar as marcações para o desvio do trafego via tabela mangle para edirecionar as requisições da porta 80 até o cache N!MOC seguindo o exemplo a eguir .
cesse IP / Firewall / Mangle e insira uma nova regra, na abra “General” selecione a Chain” prerouting, “Protocol” tcp e “Dst. Port” 80 ainda em “In. Interface” selecione ‘EthCache’ e marque a flag “!” que significa negação, ou seja todas as interfaces menos esta, na aba “Extras” em “Src. A ddress List” informe o nome da lista que irá onter a lista que irá conter os IPs dos clientes e servidores internos que não everão passar pelo cache. Em seguida inform e em “Dst. Address List” a lista de IPs ue irá conter os endereços de sites da internet os quais não deseja que passem elo cache, e não esqueça de marcar a flag de negação “!” para ambas as listas. amos agora para a aba “Action” e na opção de mesmo nome selecionamos “mark outing” e em “New Routing Mark” nossa marcação de rota personalizada hamaremos de “to_nimoc”, com relação a flag “Passthrough” podemos deixar marcada se desejamos que o trafego continue a ser analisado pelas regras seguintes a tabela ou desmarcarmos se não quisermos, é relativo e depende muito do que se ai fazer nas regras seguintes, no exemplo deixaremos marcada pois nosso exemplo erá limitado e não teremos regras conflitantes que poderiam sobre gravar nossa marcação.
https://under-linux.org/entry.php?b=2948
16/33
10/10/13
MikroTik - De a-Z Para Todos os Níveis
sta regra como foi concebida fará a marcação de rota sobre os IP’s 10.0.0.0/24 tilizados pelo pl ano/profile ”PC.Conecta” do “PPPoE Server” com a identificação de to_nimoc’.
MPORTANTE: Quando os IP’s a receber a marcação forem privados e mascarados, não há necessidade de tratar o retorno e a regra acima fará toda a marcação necessária bastando adicionar uma rota na tabela de rotas, porém quando e tratar de uma classe de IPs públicos ou mesmo uma classe cujo mascaramento stiver atrás do equipamento onde estamos fazendo esta marcação fazendo com que tilizemos o T PROXY, existe a necessidade de tratarmos o retorno conforme a regra ue segue.
cesse IP / Firewall / Mangle e insira uma nova regra, na abra “General” selecione a Chain” prerouting, “Protocol” tcp e “Src. P ort” 80 ainda em “In. Interface” selecione EthLinkD’, na aba “Extras” em “Src. Address List” informe o nome da lista que irá onter os IP’s dos clientes e servidores internos que não deverão passar pelo cache. m seguida inform e em “Dst. Address List” a lista de IPs que irá conter os endereços e sites da internet os quais não deseja que passem pelo cache, note que aqui invertemos a posição das li stas e isso é proposital já que estamos tratando o trafego e retorno, e por último na aba “Action” no recurso de m esmo nome selecione mark routing” e em “New Routing Mark” informamos o nome da rota que será to_nimoc” mantendo a flag “Passthrough” marcada.
https://under-linux.org/entry.php?b=2948
17/33
10/10/13
MikroTik - De a-Z Para Todos os Níveis
tabela acima contém apenas a marcação de rotas necessária para uso com PROXY ativado, em caso de TPROXY desativado e classes de IP’s privados como o exemplo 10.0.0.0/24 só é necessária a primeira regra onde utilizamos Src. ddress e a segunda deve ser eliminada. Vale ainda lembrar que devemos ter uma egra ou conjunto de regras para cada classe de IP’s que desejamos marcar as rotas ara envio ao cache. __________________________________________________________________
!MOC Power – Regras úteis diciona IP a interface do MikroTi k que fará comunicação com N!MOC Power. Código : /ip address add address=192.168.10.253/24 comment=PC.NiMOC disabled=no interface=EthCach
tiva resolução DNS para equipamentos remotes. Código : /ip dns set allow-remote-requests=yes
loqueio de acesso externo ao cache N!MOC Power. Código : /ip firewall filter add action=drop chain=input comment=PC.NIMOC disabled=no dst-port=8080 in-in
loqueio de acesso externo ao DNS N!MOC Power. Código : /ip firewall filter add action=drop chain=input comment=PC.NIMOC disabled=no dst-port=53 in-inte
uporte ao SSH N!MOC Power. Código : /ip firewall nat add action=dst-nat chain=dstnat comment=PC.NiMOC disabled=no dst-port=220 pr
uporte ao relatório HTTP N!MOC Power. Código : /ip firewall nat add action=dst-nat chain=dstnat comment=PC.NiMOC disabled=no dst-port=8282 p
arcação de rota para IP privado no N!MOC Power. Código : /ip firewall mangle add action=mark-routing chain=prerouting comment=PC.NIMOC disabled=no dst-ad
arcação de rota para IP público no N!MOC Power. Código : /ip firewall mangle add action=mark-routing chain=prerouting comment=PC.NIMOC disabled=no dst-ad add action=mark-routing chain=prerouting comment=PC.NIMOC disabled=no dst-ad
edirecionamento de rota para N!MOC Power. https://under-linux.org/entry.php?b=2948
18/33
10/10/13
MikroTik - De a-Z Para Todos os Níveis
Código : /ip route add comment=PC.NIMOC disabled=no distance=1 dst-address=0.0.0.0/0 gateway=19
ista de IP dos sites que não deverão passar pelo cache N!MOC Power. Código : /ip firewall address-list add address=1.2.3.4 comment="PC.NIMOC - IP DE SITE SEM CACHE" disabled=no li
ista de IP dos clientes que não deverão passar pelo cache N!MOC Power. Código : /ip firewall address-list add address=1.2.3.4 comment="PC.NIMOC - IP DE CLIENTE SEM CACHE" disabled=no
onitoramento do N!MOC Power e desativação automática de marcações. Código : /tool netwatch add comment=PC.NIMOC disabled=no down-script="/ ip firewall nat set [find co \n/ ip firewall mangle set [find comment=PC.NIMOC ] disabled=yes" host=1 "/ ip firewall nat set [find comment=PC.NIMOC ] disabled=no\r\ \n/ ip firewall mangle set [find comment=PC.NIMOC ] disabled=no"
onitoramento da internet e desativação automática de marcações. Código : /tool netwatch add comment=PC.NIMOC disabled=no down-script="/ ip firewall nat set [find co \n/ ip firewall mangle set [find comment=PC.NIMOC ] disabled=yes" host=8 "/ ip firewall nat set [find comment=PC.NIMOC ] disabled=no\r\ \n/ ip firewall mangle set [find comment=PC.NIMOC ] disabled=no" add comment=PC.NIMOC disabled=no down-script="/ ip firewall nat set [find co \n/ ip firewall mangle set [find comment=PC.NIMOC ] disabled=yes" host=2 "/ ip firewall nat set [find comment=PC.NIMOC ] disabled=no\r\ = =
__________________________________________________________________
ache Full hegamos a um ponto importante, tanto se ouve falar em Cache Full que a definição ropriamente dita se torna confusa, seria um cache cheio ? ache Full na definição dos usuários que o utilizam significa enviar o conteúdo web ormalmente do tipo multimídia e armazenado em proxy cache local para os suários/clientes da rede furando o controle de banda convencional da “Queue imple” utili zando para isso a m arcação de pacotes e a “Queue Three” que omumente é utilizada para controle em sistemas de Q oS. mais comum encontrado em dezenas de paginas web é baseado na marcação de acotes contendo o parâmetro o que pode ser feito pela tabela “Mangle” na “Chain” ostrouting, em seguida na aba “A dvanced” em “Content” digitando ‘X-Cache: HIT’ eguindo para a aba “Action” em campo de mesmo nome selecione ‘mark packet’ e m “New Packet Mark” digite cachefull. Sequer darei um exemplo utilizando a Queue Three” por considerar que este método possui uma série de problemas raves. o entanto existem outros métodos possíveis que podem ser aplicados, um dos uais relaciono abaixo tópicos que considero mais importantes. 1 – Marcar os pacotes pelo “DSCP/TOS” e não pela “Content”, isso porque este egundo método além de inseguro é i neficaz e exige maior processamento. – Informar por onde o trafego adentra ao MikroTik e/ou para onde segue, isso juda a diminuir a carga e evita que a marcação seja utilizada para enviar algum https://under-linux.org/entry.php?b=2948
19/33
10/10/13
MikroTik - De a-Z Para Todos os Níveis
utro conteúdo forjado com a mesma marcação. – Cri ar uma “Queue Type” que vai fazer o controle indivi dua de uso do conteúdo reviamente marcado. – Criar uma “Simple Queue” que será responsável por limitar o tráfego que será nviado para determinada classe de IP’s. E inserir nela o controle individual como eremos a seguir. 1.1 - Comecemos marcando os pacotes, para isso acesse IP / Firewall / Mangle e insira uma nova regra, na abra “General” selecione a “Chain” prerouting, “Protocol” cp, “In. Interface” EthCache, na aba “A dvanced” em “DSCP(TOS)” informe o valor 18 que corresponde a marcação 72 no exemplo. inda na mesma regra na aba “Action”, campo de mesmo nom e selecione a opção mark connection’ e logo abaixo no campo “New Co nnection Mark” digite conn_nimoc’. Clique em OK e esta pronta esta primeira regra, o que ela faz é identificar as conexões oriundas do servid or de cache e que contém a marca esejável recebida via “DSCP/TOS”, ainda falta marcar os pacotes dessas conexões o ue faremos na segunda regra.
ica: para saber como funciona a relação entre valores basta saber que 0 = 0, 1 = , 2 = 8, 3 = 12 e finalmente 18 = 72, portanto multiplique a marcação informada o MikroTik por 4 e vai obter o valor a ser configurado no parâmetro DSCP/TOS uando suportado pelo cache. N!MOC Power tem suporte a DSCP/TO S. 1.2 – Adicione uma nova regra e na abra “General” a “Chain” prerouting, e logo baixo no campo “Connection Mark” selecione a marcação chamada ‘conn_nimoc’, á até a aba “Action” no campo de mesmo nome selecione ‘mark packet’ e logo baixo em “New Packet Mark” vamos colocar a identificação dos pacotes como pack_nimoc’, tendo o cuidado d e desmarcar “Passthrough” pois não queremos que mesmo pacote esteja sujeito a receber outra marca depois dessa o que faria com ue a marca anterior fosse sobrescrita inutilizando nossa pri meira marcação.
https://under-linux.org/entry.php?b=2948
20/33
10/10/13
MikroTik - De a-Z Para Todos os Níveis
abela mangle contendo apenas regras para marcação do conteúdo em cache.
m “Queue Type” adicione uma nova a qual d aremos o nome de ‘nimoc_conecta’ levando o nome do servidor de cache mais o plano de acesso onde será utilizada. o campo “kind” selecione o tipo ‘pcq’ se não sabe como funciona cada controle de ilas recomendo que busque no manual, o pcq é um dos mais práticos e faz muito em o trabalho neste caso. o campo “Rate” podemos definir duas formas distintas de se trabalhar no caso do cq, deixando o campo com valor 0 significa sem limite ou seja, o que for definido o queue pai será o limite e os casos que se enquadrarem neste queue type ividirão o valor do limite entre si, pode ser desejável em muitos casos. No nosso xemplo vamos definir o valor de 256k pois queremos forçar este limite individual, logo abaixo nos campos “Limit” e “Total Limi t” vamos manter os valores padrões ue são adequados para o que j á configuramos anteriormente neste exemplo, é interessante que busquem estas informações nos manuais pois elas podem fazer a iferença entre um serviço congestionado e uma internet navegando solta.
https://under-linux.org/entry.php?b=2948
21/33
10/10/13
MikroTik - De a-Z Para Todos os Níveis
a seqüência temos quatro possíveis opções de classificadores ou “Classifier”, vamos marcar apenas uma delas que é a “Dst. Address” ou seja do ponto de vista do ervidor “por” endereço de destino. .2 – O próximo passo é criar o controle que irá utilizar a “Queue Type” recém riada, acesse “Queue List” e na aba “Simple Queue” criemos uma nova a qual iremos chamar de NIMOC-C onecta, em “Target Address” identifique os IP’s que erão de certa forma favorecidos por ela, no nosso caso os do plano “PC.Conecta” epresentados pela classe 10.0.0.0/24, nos campos “Max Limit” devemos nos reocupar apenas com o “Target Download”, explicarei logo mais, para este campo amos utilizar o valor de 2M ou seja 2 Megas.
eguimos para a próxi ma aba “Advanced” e nela selecionamos a “Queue Type” de ome ‘nimoc_conecta’ criada no passo anterior. hegamos no pulo do gato, temos agora um controle que restringe em 2 Megas ara toda a classe de IP’s 10.0.0.0/24 que atende os clientes do plano de 128k endo que o controle indivi dual quem faz é a “Queue Type” a qual chamamos de nimoc_conecta’, neste estágio você deve estar se perguntando como identificar os acotes oriundos do cache para que tal controle seja somente para o conteúdo vindo o cache com a marcação que fizemos, para tanto na aba “Advanced” selecione em Packet Marks” a marcação criada sobre os pacotes vindos do cache que chamamos e ‘pack_nimoc’.
https://under-linux.org/entry.php?b=2948
22/33
10/10/13
MikroTik - De a-Z Para Todos os Níveis
último passo é fazer com que este controle seja sempre o primeiro na lista Queue Simple” e para isso basta arrastar para a primeira posição da li sta, caso tilize HOTSPOT irá precisar de um script para que cada vez que alguém logue no istema ele redefina a ordem da lista jogando este controle pra primeir a posição, omo não é o caso do nosso exemplo vou tomar a liberdade e pular esta etapa. om a solução proposta espero li quidar de vez o chamado CacheFull que só traz ores de cabeça e deteriora completamente as conexões wireless, não que o que ropomos aqui se implementado erroneamente também não o faça mas o risco é menor se você compreender o que esta fazendo do que configurar as cegas. resultado dessa implementação é que o cliente ainda terá os 128k de download uando o trêfego for oriundo da internet porém ele terá mais 256k quando o onteúdo já estiver em cache totalizando uma banda de navegação de 384k fazendo cliente muito mais satisfeito e o provedor mui to mais econômico e competitivo om a banda disponível, como resultado temos uma melhora significativa em erviços com consumo de streaming, o cli ente ainda consegue navegar pelos sites mais visitados e falar ao skype ou utilizar tecnologias similares gastando o mínimo e banda do seu link. __________________________________________________________________
epasse de IP Público com exemplo para PPPoE xemplo 1: Provedor recebe o link dedicado e uma classe /29, utiliza o primeiro IP dessa lasse como gateway e o segundo como IP do seu servidor MikroTik . 1.1 - Neste caso, configure a interface do Link como pr oxy-arp e a interface dos lientes como reply-only depois adicione a seguinte regra no MikroTik em NEW ERMINAL e cole: Código : / ip firewall nat add chain=dstnat action=passthrough src-address=XX.XX.XX.XX/XX
comment="REP
nde XX.XX.XX.XX/XX é o IP/MASCARA que tiver disponível do seu link pós ter feito isso adicione cada IP no campo 'Remote A ddress' em 'PPP secret' para ada cliente que tiver 'IP Público e fixo'. Ou crie uma pool em ‘IP / Pool' contendo os Ps disponíveis e defina esta 'pool' no 'profile' default de seu servidor PPPoE o u inda apenas no profile/plano que estiverem os clientes que vão receber IP Público e stes terão um IP dinâmico que poderá mudar a cada nova conexão.
ica: PROXY-ARP não é o método mais seguro, mas permite alguma flexibilidade uando não dispuser de muitos IP’s e não tiver acesso à configuração do roteador e borda. https://under-linux.org/entry.php?b=2948
23/33
10/10/13
MikroTik - De a-Z Para Todos os Níveis
ica: Não crie um mascaramento dito 'genérico', mascare apenas as classes de IP rivadas que estiverem em uso. Ex: 10.0.0.0/24 ica: Sempre informe a 'out-interface' no mascaramento como sendo a interface do link (EthLinkD). ica: Cuidado com programas de gerenciamento para provedores que criam regras m seu sistema, essa é pode ser a causa de muitos problemas. xemplo 2: provedor recebe o link dedicado em uma classe e possui outras classes adicionais ara utilizar com clientes, ou ainda pode quebrar em subclasses para criar seu oteamento interno. ste é o típico caso onde podemos aplicar o roteamento de forma bastante simples. asicamente o que deve fazer é seguir com o roteamento da operadora 'pra dentro' a sua estrutura, vamos lá:
.1 - Coloque um IP público na interface do link. .2 - Defina as classes públicas nos pools de IP’s que irá utilizar para seus usuários a cadeia de conexão que deverão seguir. Ex: PoolA cai no PoolB quando estiver heio e assim por diante, recomendo que faça isso pois terá um melhor controle e oderá utilizar para cada pool de IP’s um plano diferente e isso pode ter várias implicações positivas em uma futura QoS. .3 - No profile padrão do ‘PPPoE Server’ indique que o 'Local Address' que será o ateway default dos clientes é o IP públi co da interface do link, assim o roteamento stará completo. rocando em mi údos, você estará indicando que a rota de saída dos IP’s segue seu oteamento padrão.
ica: Nunca mascare classes de IP’s públicos a não ser que tenha uma boa ustificativa, como por exemplo por possuir poucos IP’s pode criar um mascaramento para cada plano e indicar uma saída para cada plano ou grupo de lientes ou seja, clientes do planoA/grupoA saem mascarados pelo ip público A, do pelo B e assim por diante. xemplo 3: epassando mais de um IP pela conexão PPPoE utilizando roteamento estático. .1 - Defina um IP fixo para o cadastro do secret/usuário em questão no campo 'Remote Address', pode até ser um IP pri vado. .2 - Acesse o menu ‘IP / Route’ e adicione uma rota contendo no destino ‘Dstddress’ os IP’s que deseja repassar e no gateway o IP do usuário que definiu no adastro do usuário/secret no passo anterior.
bs.: Se tiver muitos clientes com esta mesma necessidade este método é inviável e e faz necessário impl antar o O SPF para o gerenciamento das rotas. Na maioria dos asos a implantação é simpl es e rápida e vai depender de como a rede estiver onfigurada. xemplo 4: epasse de IP público utilizando roteamento interno por OSFP. o caso de muitas rotas e/ou onde já tiver a autenticação na borda deverá optar por m método de roteamento dinâmico e uma das vantagens é que com i sso conomizará recursos da central, diminui ndo o tráfego de broadcast e possivelmente umentando a segurança da sua rede de distribuição. e for migrar uma bridge de distribuição por exemplo, o primeiro passo é passar a utenticação para as bordas, e na seqüência rotear os dispositivos conectados a orda, seguindo em direção a saída do link, com isso será possível fazer a migração quente e continuar usufruindo da estrutura em bridge até a virada total.
SPF básico é também rápido de fazer configurar, vo cê tem de definir a network rea que fará o transporte redistribuindo a rota default e redistribuir as conectadas ipo 1 no seu servidor ou apenas as conectadas quando tiver fixa a rota default. IG as bordas precisa configurar a mesma network para o transporte e na instância edistribuir a rota default e conectadas tipo 2 ou apenas as conectadas na maioria os casos. IG https://under-linux.org/entry.php?b=2948
24/33
10/10/13
MikroTik - De a-Z Para Todos os Níveis
essa forma teremos o funcionamento esperado e será possível vi sualizar as instâncias UP em ambos os lados. o exemplo temos 22 pontos participando do OSPF na área backbone. IG ambém podem existir outras áreas entre a borda e o seu concentrador umentando a compl exidade e até terminar num anel podendo utilizar essa opologia como backup de rotas com stp ou rstp e a possibil idade de custos iferenciados para cada saída permitindo balancear melhor o tráfego. __________________________________________________________________
CC Load Balance o exemplo utilizaremos Mikrotik 3.30 e 3 links de mesma velocidade. thLinkA = Interface do 1º link thLinkB = Interface do 2º l ink thLinkC = Interface do 3º link thLB = Interface de saída do balance uando em modo roteado: 10.1.10.129 = IP do modem A 10.1.10.161 = IP do modem B 10.1.10.193 = IP do modem C ndereços das interfaces no MikroTtik ROS – PCC Balance 10.1.10.130/27 = IP da interface EthLinkA 10.1.10.162/27 = IP da interface EthLinkB 10.1.10.194/27 = IP da interface EthLinkC 172.22.22.1/30 = IP de saída do balance ndereço da interface do Servidor - A utenticador 172.22.22.2/30 = IP do servidor conectado a saída do balance
egras e explanações sobre PCC abela MANGLE – Lista de destinos sem balanceamento Código : /ip firewall mangle add action=accept chain=prerouting comment="PC.SB" disabled=no dst-address-l
sta regra aceita as conexões para todos os IP’s de destino que se encontrarem na lista 'sem_balance' que irão sair pela rota padrão, veja o texto mais adiante.
abela MANGLE – Marcação de conexões Código : /ip add add add
firewall mangle action=mark-connection chain=input comment="PC.IN" connection-state=new action=mark-connection chain=input comment="" connection-state=new disab action=mark-connection chain=input comment="" connection-state=new disab
ria as marcas (conn_na, conn_nb, conn_nc) para novas conexões em cada uma as interfaces (EthLinkA, EthLinkB, EthLinkC)
abela MANGLE – Marcação de rotas Código :
https://under-linux.org/entry.php?b=2948
25/33
10/10/13
MikroTik - De a-Z Para Todos os Níveis /ip add add add
firewall mangle action=mark-routing chain=output comment="PC.OUT" connection-mark=conn_n action=mark-routing chain=output comment="" connection-mark=conn_nb disa action=mark-routing chain=output comment="" connection-mark=conn_nc disa
tiliza as marcações (conn_na, conn_nb, conn_nc) para criar as marcações das espectivas rotas (to_ra, to_rb, to_rc)
abela MANGLE – Peer Connection Classifier (Identificação das onexões) qui começa o PCC propriamente dito. Código : /ip add add add
firewall mangle action=mark-connection chain=prerouting comment="PC.CON" disabled=no dst action=mark-connection chain=prerouting comment="" disabled=no dst-addre action=mark-connection chain=prerouting comment="" disabled=no dst-addre
gora utilizando os classificadores (0, 1 e 2) na interface de saída do balance ‘EthLB’ riamos novas marcas de conexão (conn_na, conn_nb, conn_nc). ote que se tivéssemos 4 links seria aqui que faríamos as alterações para (0, 1, 2 e ) ficando 4/0, 4/1, 4/2, 4/3 ou ainda se tivéssemos links assimétricos ( Ex: LinkX e 512k - LinkY de 1024k - LinkZ de 2048k), deveríamos somar os valores de todos s links e dividir pelo valor do menor link então teríamos: xemplo: (512k + 1024k + 2048k )/ 512k = 7 ssim teríamos 7 marcações de PCC i ndo de 7/0 até 7/6 das quais deveríamos irecionar a primeira pro l ink X, a segunda e terceira pro link Y e as quatro restantes ara o link Z fazendo nosso sistema perfeitamente equilibrado, vale ressaltar que istemas do tipo A DSL não garantem a banda. ortanto devemos fazer testes em cada um dos links para aferir as velocidades ossíveis em cada um, já vi muitos casos onde um link desse tipo de 2MB era melhor do que o de 4MB da mesma operadora instalada no mesmo local, essa elação depende diretamente da ocupação/uso instantâneo do concentrador da peradora ao que cada link estiver conectado, normalmente adsl. tilizando das novas marcações de conexão (conn_na, conn_nb e conn_nc) do asso anterior (PCC), criamos uma nova marcação de rota para os pacotes entrando ela interface EthLB que chamaremos novamente de ‘to_ra’, ‘to_rb’ e ‘to_rc’.
abela MANGLE – Peer Connection Classifier (marcação das rotas) Código : /ip add add add
firewall mangle action=mark-routing chain=prerouting comment="PC.MR" connection-mark=con action=mark-routing chain=prerouting comment="" connection-mark=conn_nb action=mark-routing chain=prerouting comment="" connection-mark=conn_nc
ssim tendo as conexões devidamente identificadas (conn_nX) e rotas definidas para ada conexão (to_rX), seguimos para o mascaramento.
abela NAT - Mascaramento Código : /ip add add add
firewall nat action=masquerade chain=srcnat comment="PC.MSQ " disabled=no out-interfa action=masquerade chain=srcnat comment="" disabled=no out-interface=EthL action=masquerade chain=srcnat comment="" disabled=no out-interface=EthL
ale ressaltar que o mascaramento pode ser feito de várias formas, indi cando por xemplo o IP da interface de saída utilizando a action ‘src-nat’ (no caso de termos mais de um IP de saída na mesma interface). Pela interface de cada link como cima, ou ainda apenas mascarando a interface de saída do balance ‘EthLB’ em https://under-linux.org/entry.php?b=2948
26/33
10/10/13
MikroTik - De a-Z Para Todos os Níveis
egação como abaixo, escolha a sua de acordo com o seu entendimento e ecessidade. Código : /ip firewall nat add action=masquerade chain=srcnat comment="PC.MSQ " disabled=no out-interfa
abela NAT – DMZ / Demilitarized Zone Código : /ip firewall nat add action=dst-nat chain=dstnat comment=PC.DMZ disabled=no dst-port=!8291 in
exemplo acima redireciona todas (menos as da porta 8291 que é do acesso ao inbox) as entradas pelas interfaces ‘diferentes’ da ‘EthLB’, portanto estamos nos eferindo as entradas dos links, para o IP 172.22.22.2 que no caso será o servidor ligado a saída do balance. DMZ evita ter que criar uma regra para cada porta e cria uma zona de acesso ireto havendo correspondência entre as portas, pode-se excluir uma ou mais portas o DMZ caso tenham um destino diferente. o caso da porta de origem ser diferente da porta destino, devemos criar uma regra indicando tal situação e posicioná-la antes da regra do DMZ. Código : /ip firewall nat add action=dst-nat chain=dstnat comment=”PC.WBX” disabled=no dst-port=8292 i
regra acima serve para o acesso do servidor pelo winbox a partir da internet por ualquer dos links conectados ao balance e deve estar na tabela NAT antes da regra e DMZ. eguimos para a próxi ma etapa onde iremos definir as rotas padrão e backup para ada marcação criada até agora.
abela ROUTE – Indicação de rotas e redundância efinimos 3 rotas sendo que cada uma tem um custo diferente e portanto a primeira erá a preferência (distance=1), caso venha a faltar a segunda assume(distance=2), m seguida a terceira(distance=3). Código : /ip add add add
route comment="" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.1.10. comment="" disabled=no distance=2 dst-address=0.0.0.0/0 gateway=10.1.10. comment="" disabled=no distance=3 dst-address=0.0.0.0/0 gateway=10.1.10.
endo a rota de custo menor (ex: distance=1) a rota padrão (default) para todas as onexões que não receberem marca de rotas, nesta lista incluem-se os serviços e estinos da lista ‘sem_balance’ comentada no inicio, portanto é interessante que este link tenha boa capacidade pois além das conexões oriundas das marcações irá eceber o trafego sem marcação. m seguida todas as 3 rotas que utilizam marca de rotas ‘to_ra’, ‘to_rb’ e ‘to_rc’ ividem a carga que foi previamente marcada na tabela mangle. nviando ‘to_ra’ para o gateway 10.1.10.129, ‘to_rb’ para o gateway 10.1.10.161 e to_rc’ para o gateway 10.1.10.193 todas com ‘distance=1’ ou seja, como primeir a pção de todas as marcações. Código :
https://under-linux.org/entry.php?b=2948
27/33
10/10/13
MikroTik - De a-Z Para Todos os Níveis /ip add add add
route comment="" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.1.10. comment="" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.1.10. comment="" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=10.1.10.
odemos ainda definir links de backup para cada marcação e no caso se um dos links cair, o link de backup assume a tarefa de transmitir os pacotes como fizemos ara a rota padrão, agora também para as marcações de rota. Código : /ip add add add
route comment="" disabled=no distance=2 dst-address=0.0.0.0/0 gateway=10.1.10. comment="" disabled=no distance=2 dst-address=0.0.0.0/0 gateway=10.1.10. comment="" disabled=no distance=2 dst-address=0.0.0.0/0 gateway=10.1.10.
ote que a o gateway de backup para ‘to_ra’ é 10.1.10 .161, para ‘to_rb’ é 10.1.10.193 e para a ‘to_rc’ é 10.1.10.129. ode-se opcionalmente criar várias rotas de backup com custos (distance) diferentes té cobrir todas as possibilidades.
ica: Também é possível fazer com que o próprio Mikrotik ROS disque as conexões o tipo A DSL/PPPOE aumentando a eficiência do sistema e utilizando modens em ridge, sendo que neste caso é recomendado fazer o mascaramento e indicação do ateway ambos pela interface pppoe-out e não mais pelo IP.
ica: com relação ao usar o check ping, devemos tomar cuidado pois links de iferentes tipos tendem a ter diferentes tempos de resposta ao ping e quando este método é utilizado pode ocorrer desigualdade entre os consumos dos links apesar e as marcações estarem corretas, isso porque o sistema leva em consideração o empo de resposta de cada gateway. ica: para que o balance PCC funcione de maneira mais adequada, o menor link eve ser superior ao maior plano comercializado e a maior eficiência do balance epende de requisições menores chegando ao balance em grande quantidade e não poucas requisições em maior quantidade, lembre-se disso, balance não é soma de link mas sim a divisão das requisições. __________________________________________________________________
MZ no MikroTik e o que você quer no caso é apenas um redirecionamento público/privado e seu etorno, tens duas formas bastante simples de fazer, por dst-nat e src-nat ou tilizando netmap, observe os exemplos que seguem. dicione o ip público e mascara a interface pública do mikrotik (entrada do link). a tabela NAT adicione uma regra cuja chain dst-nat redirecione o que chegar para ip público utilizando também a action dst-nat para o ip privado, identificando a interface de entrada como sendo o seu link. Código : /ip firewall nat add action=dst-nat chain=dstnat comment="PC.DSTR" disabled=no dst-address=20
a sequencia faça o oposto, mascarando as requisições que chegarem do ip privado ara sairem pelo ip público identificando a interface de saída como sendo o link. Código : /ip firewall nat action=src-nat chain=srcnat comment="PC.MSQR" disabled=no out-interface=EthL
não esqueça de colocar estas regras antes do seu mascaramento geral para que https://under-linux.org/entry.php?b=2948
28/33
10/10/13
MikroTik - De a-Z Para Todos os Níveis
enha o resultado esperado, este é um exemplo de NAT 1:1, você também pode tilizar o netmap para a função e fazer o repasse para uma range de IPs sem ecessidade de criar uma regra para cada IP. __________________________________________________________________
tilização de Burst no MikroTik credito que a dúvida seja compartilhada com muitos, vou tentar explicar apartir de xemplo simples o funcionamento do burst.
L - Max Limit 120k = Máxima taxa de transferência após atingido o limite que será alculado com base no tempo de 8s podendo atingir a velocidade máxima de 'Burst imit = 300k' L - Burst Limit 300k = Limite máximo de velocidade usando o recurso de Burst ou m português 'Rajada' ou ainda ‘Estouro’. T - Burst Threshold 96k = Valor que poderá ser consumido para ter direito a novo L de 300k B - Burst Time 8s = Tempo sobre o qual são calculados os limites de velocidade
a prática: o burst é calculado utilizando ciclos com base no TB/16 (dividido por 16), no exemplo acima teremos o ciclo de calculo executado a cada 0.5s ou seja, uas vezes por segundo, o que signifi ca dizer que a cada meio segundo serão nalisados os últimos 8s (TB) do tráfego. e uma forma geral para ter direito ao burst o resultado calculado de BT deve ser inferior ao valor informado para BT, seguindo fórmula: “(BTT/TB) < BT”, onde BTT a média do consumo nos últimos ‘X’ segundos definidos em T B. xemplo: 1s 2s 3s 4s 5s 6s 7s 8s 00k + 100k + 200k + 50k + 30k + 200k + 250k + 150k = 1280k 1280k/8s = 160k/s endo a fórmula para a liberação de novo burst “BTT / TB < BT ” e o valor efinido de BT atual definido de 96k, o calculo deste ciclo nos mostra o BT em 160k/s, ou seja, maior que 96k, o burst não será liberado e o valor limite continua endo de ML. inda que o consumo nos próximos 6 segundos se mantenham em 120k: 50k + 150k + 120k + 120k + 120k + 120k +120k + 120k = 1120k 1120k/8s = 140k/s resultado continua acima do valor definido para BT que é de 96k, não tendo ireito a novo burst até que o resultado do ciclo seja inferior a BT. uponhamos que nos próximos 2 segundos o consumo caia: 120k + 120k 120k + 120k + 120k + 120k + 12k + 12k = 744k 44k/8s = 93k este instante o valor calculado é inferior ao d efinido em BT, sendo assim já estará liberado novamente o valor de BL para a próxima solicitação. e você chegou até aqui parabéns, já consegui o que buscava ao escrever este material. __________________________________________________________________
IMOC Power Cache e quiser continuar farei uma explanação sobre o N!MOC Power, um sistema de ache que desenvolvemos focado em alto desempenho entenda-se isso por rapidez e lto ganho. N!MOC Power incorpora os m ais importantes recursos suportados por servidores ache, trabalha com conteúdo dinâmico e estático dos mais diversos sites uportando grande volume de carga e armazenamento. Orkut, Y ouTube, Microsoft, ezenas de antivírus e sites de conteúdo multimídia de todos os tipos são https://under-linux.org/entry.php?b=2948
29/33
10/10/13
MikroTik - De a-Z Para Todos os Níveis
uportados, hoje são mais de 480 plugins já disponíveis e mesmo sem a existência estes todo o trafego que passar pelo NIMOC terá seu conteúdo analisado e alocado m disco quando configurado. uporte nativo a T-PROXY, REDIRECT, DSCP/TOS em diversos níveis, ersonalização de pl ugins e listas são alguns dos recursos básicos presentes. ecursos inovadores e exclusivos garantem a desempenho superior, a versão LY E grega adicionais importantíssimos e na maioria inéditos. sistema N!MOC distingue-se dos similares por oferecer um ganho superior tanto m economia quanto em desempenho, o tempo de resposta é aproximadamente 6x menor que os demais, podendo ultrapassar incríveis 50x para abertura de páginas e ão estou falando sobre aceleração via “Queue Type” como alguns podem estar imaginando. conteúdo armazenado localmente é passível de uso por outras apli cações, sendo ue nada é adicionado aos arquivos origi nais, os mesmos são armazenados da mesma forma que são recebidos ou armazenados na internet excluído os tilizadores de responsabilidade por hospedar conteúdo ilegal e mantendo-se dentro as normativas e leis internacionais que protegem alguns tipos de conteúdo. N!MOC tem suporte incluso, você não pr ecisa se preocupar com o suporte do ervidor, faremos isso pra você sem custo adicional e o valor é acessível a rovedores ou empresas de qualquer porte. ão é necessário acessar nenhum painel, configurar nenhuma opção, basta ligar o ervidor e já estará funcionando, quando e se for necessária alguma intervenção ela erá feita por pessoal altamente capacitado e homologado na plataforma. uando a impl antação for feita por nossa equipe, oferecemos a “Garantia Life ime”, ou seja, pelo tempo que você utilizar o sistema. Só quem tem o melhor pode ferecer algo assim, garantia por toda a vida do produto só com máxima qualidade o N!MOC Power LYE. s atualizações são disponibilizadas sem custo conforme o plano escolhido e não é ecessária uma parada do sistema para 90% das atualizações, ou seja, as conexões os usuários não são interrompidas, os downloads não param no meio e isso ignifica muito m enos aborrecimentos pra você. e você tem interesse em ser representante ou desenvolvedor homologado de plicações, envie-nos o seu currículo, é necessária experiência em sistemas peracionais e desejável conhecimento de duas das p lataformas suportadas, nossa intenção não é limitar o número de profissionais homologados, mas nivelar por ima as solicitações para que os clientes ao receberem o suporte, este seja adequado livre falhas. ornecemos o treinamento necessário inclusive para o sistema operacional então se ocê ainda não possui o conhecimento não deixe de buscá-lo.
não se esqueça de quando usar ou citar material de terceiro em incluir as fontes, isso não é vergonha muito pelo contrário é sinal de respeito e reconhecimento e ambém nos qualifica. eus sinceros agradecimentos ao under-linux, seus mantenedores e colaboradores ue fazem desse o melhor fórum técnico da A mérica Latina. o colega de fórum A nderson Machado por sua dedicação e incontáveis olaborações, também o meu reconhecimento ao MK-AU TH e seu mantenedor edro Filho e aos demais amigos que conquistei durante estes anos online, os meus umprimentos de elevada estima. uciano Rampanelli / M4D3 cram.com.br https://under-linux.org/entry.php?b=2948
30/33
10/10/13
MikroTik - De a-Z Para Todos os Níveis
msn: [email protected] / skype: m4d3m4n ncontrou erros? Quer fazer um comentário ou dar sua sugestão? ttp://goo.gl/Cw6Kh inks úteis: CQ > http://goo.gl/p9Mfx / ConLiNUXCD > http://goo.gl/IMUtq CC > http://goo.gl/0yMZP / 3x1 > http://goo.gl/Kb3L2
emonstrativo de Resultado NIMOC Power
xemplo de gráficos após 6 meses da implantação do sistema em uma rede com 60 usuários, alto ganho entre consumo de banda (em verde) e entrega para os suários (em azul) velocidade de acesso que melhorada exponencialmente a xperiência do usuário com conteúdo multimí dia sem comparação. !MOC conta com modo turbo um diferencial exclusivo que torna a navegação muito mais rápida sem depender de outros sistemas. Surpreenda-se com o que há e melhor em otimização de estrutura para internet com N!MOC Power LY E DEUS SEJA LOUVADO
Miniaturas de Anexos
Atualizado 20-09-2012 em 12:49 por m4d3 Tags: cache, configurar, mikrotik , nimoc, power, sobre, tudo, zero Categorias: Artigos , Dicas , Tutoriais Enviar Post de Blog por Email
« Fazendo as coisas direito, começando com a RFC1918 por: M4D3 Principal seu painel solar economizando até 70 por cento »
Faça você mesmo
Comentários alexandrecorrea - 21-09-2012 00:39
artigo muito bom.. so queria salientar para a configuração do pppoe.. PA P é inseguro porque a senha vai em 'plain-text'. deixe ativo todos menos PAP.. e configure o radius para suportar isto.. m4d3 - 21-09-2012 07:09
sim, i nseguro porém muitos dos sistemas comerciais atuais só aceitam https://under-linux.org/entry.php?b=2948
31/33
10/10/13
MikroTik - De a-Z Para Todos os Níveis
PAP, fica o pedido para que implementem os demais. Abraço alexandre e obrigado por sua participação. peritinaicos - 21-09-2012 09:31
Uma duvida que tenho já faz tempo, o uso do burst numa rede pequena exemplo 100 usuários 70 simultâneos almenta muito o uso da RB? E parabéns. alexandrecorrea - 21-09-2012 10:22
isso nao eh no sistema em si.. mas no radius !!! autenticação PAP se o cara rodar um radius do tipo "MAN-IN-THEMIDDLE" ele lê a senha.. m4d3 - 21-09-2012 17:15
rsss, pode ser até 'man in the side' basta configurar o radius que vai explorar a rede com password show, já era... me referi aos sistemas comerciais disponíveis no mercado alexandre, os famosos softwares para ISP, já solicitei no minimo pra meia dúzia pra mudar do pap mas parece que os clientes destes softwares desconhecem ou ignoram totalmente este tipo de problema... fazer oque né.. r0n3n1x - 01-10-2012 16:57
muito bom o post betaoity - 05-10-2012 14:56
Blz amigo! ótimo artigo, aprendi um bocado. marcos.sebastiao - 11-10-2012 14:50 Pessoal boa tarde, gostaria de saber com um link Dedicado 2MB posso atender quantos clientes simultâneos usando Placa Routerboard Mikrotik RB800 : - C artão r52h e 3 antenas setoriais de 12 0°.
gigahertzinformatica - 26-10-2012 21:37
Parabens por disponibilizar este balance, foi de grande ajuda pra mim. Valeu mais uma vez pela força. Evilazio - 27-10-2012 23:57
Parabéns pela dedicação e pela doação de tempo destinado ao desenvolvimento desse material tão rico de informação. Se houvesse aqui um material desses tão bem detalhado, muita gente tinha deixado de gastar dinheiro com assessorias de terceiros kkkkkkkk inclusive eu né não Luciano! um abração! alyssonbmx - 30-10-2012 12:42
sem comentários muito bom . no top, ae do nosso amigo GERMANSISMAG - 09-11-2012 11:26
Buenas: Soy nuevo en el foro y en REDES WIFI. Quería comentarle que tengo un pequeño ISP y estado unas semanas muy duras, después de caerse mi torre alguien me ha estado molestando, buscando información me muestra que es un problema en la capa 2 -se conectan como root-; tengo mis A P en modo RSTP Bridge y me están atacando, los clientes se desconectan y la red anda lenta. Buscando información también e visto que dice que dejarla en bridge es insegura. Por eso, por este medio quería expresarle mi inquietud y si algún bondadoso samaritano quiere ayudarme le agradecería. E leído por ahí que enrutar la red -o rutear- soluciona algo, así como ponerle mayor seguridad a la AP Y Clientes ( estaba viendo algo EAP-Certificada). Así como filtrar los puertos del Bridge, estube haciendo pruebas pero hasta ahora nada me a salido como quería, si pudieran darme una ayuda con este problema le estaré agradecido de por vida. https://under-linux.org/entry.php?b=2948
32/33
