You are on page 1of 51

MikroTik

DE a-Z PARA TODOS OS NVEIS


Escrito por: Luciano Rampanelli / M4D3

Dedico este material aos amigos online que conquistei ao longo


destes anos, em especial minha esposa e nossos trs filhos Luciano
Junior, Joo Paulo e Pedro, principais motivadores desta publicao.

Como bons administradores da multiforme graa de Deus, cada um


coloque disposio dos outros o dom que recebeu (Pedro I, v 4 a
10)

As prticas relatadas aqui esto em uso desde 2007 em diversos


provedores comerciais, passo a dividir com todos na busca de dias
melhores na "internet brasileira". As tcnicas abordadas so baseadas
na experimentao e simulao de acordo com as normas e leis que
regem o acesso a internet. As informaes aqui contidas so parte de
algo maior e no foram copiadas ou tomadas em assalto, mas so
fruto do esforo individual deste que vos escreve. Fao este
documento de uso livre para aqueles que assim necessitarem para
uso pessoal e didtico. Exceto para fins comerciais, impresso ou
divulgao sem expressa autorizao do autor.
__________________________________________________________________
Configurando o MikroTik do Zero
Vamos comear configurando um servidor bsico com servio de
autenticao, escolhi o pppoe pela facilidade e compatibilidade com a
maioria dos sistemas comerciais adotados no mercado alm claro
do meu gosto pessoal.
Comecemos escolhendo a verso do MikroTik a utilizar, eu confio e
utilizo a bastante tempo a verso 3.30, 4.17, 5.11, procuro manter
uma verso estvel at ter confiana suficiente de que todos os
recursos que necessito estejam funcionando de acordo em uma
verso mais atual, que alm disso deve ter novos recursos para
merecer um upgrade.

__________________________________________________________________
Configurao as Interfaces
Dito isso vamos definir o nome das interfaces, comeando com ether1
que vamos re-nomear para EthLinkD que ser nossa entrada do
link, este por sua vez pode ter qualquer origem seja um link dedicado
ou uma adsl, trataremos disso mais tarde.
Sem ordem o sucesso uma possibilidade remota, na seqncia
vamos agora re-nomear a interface ether2 para EthClientes, que
como o prprio nome diz ser a interface por onde forneceremos o
acesso aos clientes.
O objetivo deste documento no ser o mais detalhista possvel, mas
oferecer uma viso clara de como configurar de maneira ordenada e
lgica qualquer equipamento, a metodologia empregada na
implantao depende muito da necessidade e pr disposies
existentes, porm questes como a nomenclatura a ser utilizada e a
seqncia s depende da forma de raciocnio de quem esta a
configurar e do nvel de compreenso pretendido para qualquer
usurio que acessar o sistema.
Em seguida faremos as definies de IP que so necessrias ao
sistema, note que ate agora estamos fazendo o acesso via MAC o que
extremamente lento.
Supondo que temos um IP roteado disponvel para nosso link, seja ele
pblico ou privado, vou identificar uma classe que servir de exemplo
durante nossas explanaes.
Classe de IP: 172.16.50.128/29 Esta ser a classe que recebemos do
roteador (dedicado ou adsl no importa), no caso o IP que identifica
no gateway ser o primeiro IP 72.16.50.129 e para a configurao do
nosso sistema iremos utilizar o IP 172.16.50.130/29.

__________________________________________________________________
Configurao da Rota Default
Em seguida devemos informar o default gateway 172.16.50.129 na
tabela de rotas.

Resultando conforme abaixo em nossa tabela de rotas.

Se obtiver resultado diferente do exemplo (como uma rota na cor


azul), pode ser que o IP do gateway no tenha sido encontrado na
rede ou que no tenha definido corretamente o endereo IP na etapa
anterior.
__________________________________________________________________
Configurao do DNS
Vamos agora para a configurao de DNS, eu particularmente confio
no DNS gratuito OpenDNS, porm devo alertar em em certos casos j
tive problema por conta disso, um exemplo quando um dos clientes
sabendo que utiliza dos servios do OpenDNS vai at o site deste
servio e cadastra o/os IPs utilizados por seu sistema e cria regras de
bloqueio (muito teis inclusive principalmente para limitar servios
indesejados), fazendo isso qualquer resoluo de DNS que partir dos
IPs informados na regra de filtro passam a ter as limitaes impostas
em tais filtros, imagine um usurio mal intencionado bloqueando os
servios de redes sociais, isso iria gerar uma revolta entre os clientes
e com certeza no desejamos algo desse tipo.
Portanto se utilizar deste servio tenha certeza de que est imune a
condio citada, outro DNS que posso sugerir so do Google que
apresentam na maioria dos casos bom tempo de resposta e
disponibilidade, no geral o que conta, voc pode utilizar os de sua
preferncia, no exemplo vamos utilizar um DNS do Google e outro do

servio gratuito OpenDNS.

GoogleDNS: 8.8.8.8/8.8.4.4
OpenDNS: 208.67.222.222/208.67.220.220
Vale ressaltar que a opo Allow Remote Request permite utilizar o
IP do seu MikroTik para resoluo de DNS e cache deste servio,
sendo desejvel eu recomendo que marque esta opo, tendo o
cuidado de bloquear requisies vindas de fora do seu sistema para
este servio (90% dos casos).
Alm disso devemos alterar o Cache Size para algo entre 4096 e
8192 possibilitando armazenar o maior nmero de endereos DNS no
MikroTik local dessa forma agilizando o processo de resoluo dos
equipamentos cliente quando fizerem uso do servidor DNS disponvel
no MikroTik.
Tendo concludo com sucesso esta primeira etapa faremos um teste
de ping para aferir o funcionamento do sistema bsico, comeando
com um teste direto a um endereo IP. Para tal abra um terminal e
digite:
ping 200.221.2.45

O resultado tem que ser como acima, se packet loss informar algo
diferente de 0% voc tem algum problema de conexo ou ento o IP
que tentou pingar no esta mais acessvel.
O prximo passo testar a resposta dos servidores DNS e para isso
vamos executar um ping informando o endereo de um site e no o
seu IP.
ping uol.com.br

O resultado deve ser o mesmo anterior.


Desta vez quando efetuamos uma consulta ao DNS cache do MikroTik
encontramos as resolues j consultadas e com TTL no expirado.

Vamos agora definir um DNS prprio para uso nos clientes deste
MikroTik em questo, faremos isso acessando o DNS Static,
utilizaremos um IP qualquer que no exemplo ser 10.0.0.1.

O TTL o tempo de expirao que vai manter a consulta a este DNS


em cache, quando ser necessria nova consulta para resoluo do
endereo, em certos casos interessante manipular este tempo
tendo em vista o grande nmero de solicitaes que podem ser feitas
a um mesmo endereo, no caso de haverem poucas mudanas do IP
de destino.
Devemos observar que quando houver a manipulao do TTL padro
o resultado pode ser um destino que aponta para um endereo que
no corresponde mais ao endereo desejado at a renovao da
consulta e portanto podendo causar falha no acesso, o MikroTik no
suporta manipulao da tabela DNS cache, e se pretende utilizar este
servio recomendo o BIND9 em servidor Linux que alm disso oferece
muitas outras possibilidades.
Observe que aps a insero do DNS Static imediatamente a tabela
DNS Cache foi incrementada e o TTL comea a contar at a prxima
renovao.

__________________________________________________________________
Configurao do Concentrador PPPOE
Vamos agora configurar o servio PPPOE, chamaremos o servio de
PC.PPPoE e selecionando a interface pela qual os clientes faro
acesso a este servio vamos definir os valores padres deste
servidor.
No faremos nenhuma alterao nos valores de MTU / MRRU /
Timeout / Max Sessions e na maioria dos casos isso mesmo que
recomendo, s altere se houver uma necessidade que de outra forma
no pode ser solucionada.

Marque One Session Per Host se desejar que apenas um usurio


conecte para cada cadastro de usurio/senha.
Com relao ao tipo de autenticao suportada pelo servio at agora
entre os sistemas comerciais que utilizam o FreeRadius s encontrei
autenticao PAP, porm isso pode mudar, se o seu sistema suporta
mais de um tipo marque as respectivas opes suportadas, caso
contrario basta manter apenas PAP e desmarcar as demais, isso
inclusive evita comportamento errneo de alguns sistemas comerciais
em uso hoje em dia.
Recomendo que busque informaes adicionais sobre cada mtodo,
isso no vai mudar a sua vida, mas o hbito de pesquisar as opes o
tornar apto a responder as mais diversas perguntas quando
questionado.
Obs: se o seu sistema suporta outros mtodos eu gostaria de
conhec-lo.
Vamos agora para a configurao do Profile que nada mais do que
as configuraes do plano de acesso ao qual o cliente ir pertencer.
No primeiro plano vamos selecionar algo simples para assimilao
rpida, vamos chamar de PC.Conecta fazendo referencia a um plano
de entrada onde o principal objetivo que acesso a internet. Sendo
este um plano bsico no tem como foco a velocidade de acesso, a
principal caracterstica deste plano ser sua velocidade de acesso
limitada em 128kbps para download e 64kbps para upload, o que em
teoria deve garantir downloads de at 16kb/s e upload de at 8kb/s.

- criando a pool de endereos ip

Em Local Address informaremos o IP que o cliente receber como


gateway e em Remote Address indicamos a Pool de IPs a qual o
profile pertence, ou seja os IPs que os clientes iro receber aps a
conexo ter sido estabelecida com o servidor. Para este primeiro
plano vamos criar a Pool de nome pool_conecta a qual inicia no IP
10.0.0.11 e termina em 10.0.0.249, voc deve estar se perguntando
porqu no comear no antes e ir at o final dos IPs, eu fao uma
reserva em cada pool quando possvel para casos especiais em que
eu preciso fixar o IP que um determinado equipamento ir receber.
Como resultado teremos a tabela IP Pool conforme abaixo:

- criando o plano de acesso

Na criao do profile PC.Conecta, selecionamos a pool_conecta


para o Remote Address e mantemos os campos Bridge / Incomming
Filter / Outgoing Filter / Address List / WINS Server inalterados,
bastando para tanto configurar apenas o campo DNS Server.

Utilizaremos o prprio MikroTik como servidor DNS primrio, isso nos


trar a vantagem do DNS Cache, como DNS secundrio vamos utilizar
um DNS qualquer informado pela operadora que pode ser obtido
junto ao servio de atendimento ao cliente ou com uma breve busca
na internet. Para este caso vamos configurar o secundrio com o
SuperDNS servidor 1 cujo endereo dns1.superdns.com.br e seu ip
corresponde a 72.233.55.28, entenda que apenas um exemplo e
no recomendo este como seu DNS secundrio.
Ainda no profile em questo, na aba General as opes Use
Compression/Use VJ Compression/Use Encryption devem ficar na
posio no e Change TCP MSS em yes, esta segunda pode lhe
economizar alguma dor de cabea com MSN e coisas do gnero e

voc pode optar por no utilizar as configuraes indicadas aqui e


ainda assim no ter problema algum desde que saiba o que esta
fazendo, no tenha medo de experimentar pois tambm dessa
forma que se adquire conhecimento.

Na aba Limits vamos utilizar as velocidades relativas ao plano


sendo que no MikroTik como indicado no campo Rate Limit onde
deve ser informado primeiro o upload do plano que no caso o rx do
servidor (em relao ao cliente que quem vai utilizar o profile) e em
seguida informar o download que o tx do servidor com as
velocidades separadas por / da seguinte forma 64k/128k ou ainda
64000/128000. O campo Rate Limit permite configuraes bastante
diversas com ou sem omisso de parmetros, vale a pena estudar a
respeito.
Exemplo 1: 64000/128000 ou 64k/128k
2: 51k/102k 64k/128k 40k/81k
3: 51k/102k 64k/128k 40k/81k 8

4: 51k/102k 64k/128k 40k/81k 6 8


5: 51k/102k 64k/128k 40k/81k 128/192 8
6: 51k/102k 64k/128k 40k/81k 128/192 8 32k/64k
Composio do campo Rate Limit (tx/rx)
[rx-rate/rx-rate][rx-burst-rate/tx-burst-rate][rx-threshold/tx-threshold]
[rx-time/tx-time] [prio/prio] [rx-limit-at/tx-limit-at]
- cadastro de usurio
Para saber mais sobre estas opes consulte o manual do MikroTik
e/ou defina os valores de exemplo em um plano e consulte na tabela
Queue Simple a fila do usurio aps conexo. Tambm pode utilizar
usar 1M no lugar de 1024k. Pode-se utilizar k, M ou G.
Configurado o primeiro plano de acesso siga configurando os demais
para outras velocidades, mas antes disso voltamos ao servio
PC.PPPoE e alteramos o Default Profile para PC.Conecta.

Seguindo com a configurao vamos agora cadastrar o primeiro


usurio/cliente para conexo via servidor PPPoE. Acesse o menu
Secrets e preencha os campos conforme indicado:
Name: testepc
Password: senhapc
Profile: PC.Conecta
Service: (pppoe, para outros tipos selecione da lista)
Caller ID: (opcional, cadastre o MAC se quiser amarrao)

Local Address: (opcional, pode usar outro IP que ser o gateway)


Remote Address: (opcional, IP do cliente que vai pegar do profile)

O campo Caller ID: pode ser preenchido com o MAC Address do


equipamento cliente e tem a funo de amarrar o login/name ao
MAC, podemos ainda preencher o campo Remote Address caso
desejemos que este login/name conecte sempre com o mesmo
endereo IP.
O campo Local Address fornecido automaticamente pelo profile
selecionado sendo este o gateway da conexo PPPoE, podendo ser
informado manualmente caso haja necessidade.
Curiosidades: em verses antigas (2.x) do MikroTik havia um bug de
o cliente conectar e no navegar, a navegao somente era possvel
quando o mesmo recebia outro IP, esta situao era facilmente
evitada preenchendo o endereo do Local Address nos cadastros.
__________________________________________________________________
Configurao do servidor NTP
Importante: configurar as informaes de data, hora e localizao,
alguns podem achar que algo desnecessrio, eu afirmo que tem
muita importncia ento vamos a isso. Primeiro configuramos o
Manual Time Zone, no meu caso estou em Comodoro que fica no
interior do estado de Mato Grosso, sendo assim o Time Zone
-04:00, em seguida acerte os valores da aba Time.

Na seqncia configuramos o NTP Client para manter nosso relgio


em sincronismo, fazemos isso utilizando os servidores nacionais
sendo eles, a.ntp.br e b.ntp.br ou outro de sua preferncia.

Note que ao aplicar a configurao o texto digitado se converte


automaticamente no IP de cada servidor e para isso utiliza o servio
DNS configurado neste equipamento.

__________________________________________________________________
Criando o MASCARAMENTO dos IPs privados
Neste momento dado a natureza dos IPs que utilizamos na

pool_acesso vamos criar o mascaramento local para que seja


possvel o trafego de dados entre os clientes e a internet.
Acesse IP/Firewall/NAT e insira uma nova regra com as seguintes
caractersticas:
Na aba General
Chain: srcnat
Src. Address: 10.0.0.0/24 (classe destinada aos clientes)
Out . Interface: EthLinkD
Na aba Action
Action: masquerade
Voc pode ter feito esse procedimento dezenas de vezes e de vrias
maneiras diferentes sem se perguntar por que, neste caso quando
fazemos o mascaramento estamos dizendo para o MikroTik que todas
as requisies vindas dos clientes (pool_acesso, IPs 10.0.0.0/24) com
sada pela interface EthLinkD sero mascaradas pelo NAT, em linhas
gerais isso garante que o firewall seja afetado positivamente para os
acessos da sua rede interna, o que isso significa? Que quando voc
for fazer utilizao de um servidor externo de quaisquer servios
conectados a outra interface que no seja EthLinkD (pode ser
EthIntranet ou outra qualquer), estes servios iro registrar o IP
individual de quem estiver buscando pelo servio e no o IP do
servidor o qual seria enviado caso no estivssemos definindo uma
interface especifica para a sada padro (leia-se rota default).

Um exemplo prtico so os redirecionamentos para servidores de


proxy cache, sem informar a Out. Interface o servidor de cache vai
entender que todas as requisies so oriundas do IP do servidor
MikroTik que fizer a conexo com o proxy cache, imagine ento se for
um servidor de firewall e ou autenticaes, onde todos os usurios
chegassem com o mesmo IP.
Feito isso j podemos conectar nosso primeiro cliente ainda que no
tenhamos configurado o servidor de cache, e para tanto se faz
necessrio configurar um discador pppoe, seja em um rdio ou no
prprio sistema operacional do usurio.
De posse do usurio e senha cadatrados na Secrets conecte um
cabo de rede entre a interface EthClientes e o equipamento que
far a discagem, na maioria dos casos os rdios suportam auto-MDIX,

para micros ligados diretamente ao servidor e placas de rede que no


o suportem utilize um cabo de rede crossover.

http://en.wikipedia.org/wiki/Ethernet_crossover_cable
Aps conexo observamos em Active Connections a presena da
conexo discada e o respectivo endereo MAC na coluna Caller ID.

Na aba Interface possvel ver a interface criada pelo pppoe com


trafego de tx/rx (download/upload pois o sentido servidor>cliente)

Em Queue List na aba Simple Queue possvel observar o trfego


do cliente no controle de filas sendo que os valores instantneos so
para o trfego que passa pelo servidor com destino a internet.

A cor vermelha indica que o trafego excede 75% do valor configurado

em Max Limit, outras cores so laranja para 50% e verde para 25%.
__________________________________________________________________
Integrao ao sistema de cache NIMOC Power
Comecemos por configurar a interface que far a comunicao com o
cache, neste caso especifico recomendo a instalao de uma
interface com o nico propsito de se comunicar com o servidor de
cache.
Vamos agora re-nomear a interface ether3 para EthCache, que
como o prprio nome diz ser a interface exclusiva que ser
conectada ao NIMOC Power.
Vamos agora configurar a conexo entre o MikroTik e o servidor de
cache, no MikroTik acesse o menu IP / Address e configure o
seguinte IP 192.168.10.253/30 na interface EthCache, este ser o
gateway e dns secundrio do servidor de cache.
Feito isso configure o seu servidor de cache N!MOC com as seguintes
informaes.
IP Address: 192.168.10.254
Mascara: 255.255.255.252
Gateway: 192.168.10.253
Dns primrio: 127.0.0.1
Dns secundrio: 192.168.10.253
Para tanto vamos utilizar o aplicativo niconfig que se encontra
presente no sistema instalado a partir do N!MOC INSTALLER CD:
Tento logado como root digite no console do N!MOC Linux:
niconfig <ENTER>

Caso sua placa de rede seja identificada diferente de eth0, no h


problema apenas lembre em qual interface voc configurou o IP para
futuras configuraes ou consultas se necessrias.

Na seqencia vamos configurar IP 192.168.10.254 e mascara de rede


255.255.255.252, esta classe possui apenas os 2 IPs livres para uso
que necessitamos na comunicao entre os dois servidores.

Ao final clique aceitar sobre a seleo SAIR.


Antes que comece a se questionar sobre o que acabamos de fazer e o
uso do sistema de cache com suporte a TPROXY quero adiantar que
dessa forma ser possvel e sem nenhuma limitao o uso do TPROXY
tanto para IPs pblicos quanto de IPs privados, os IPs configurados
acima no influenciam no uso desse recurso e s servem para o
transito das demais classes de IP.
Obs: N!MOC Power LYE tem suporte a TPROXY em LINUX/BSD alm de
muitos outros recursos importantes para a configurao de uma rede
profissional.
Note que os IPs de gateway e dns indicam que o MikroTik ser o
gateway e dns secundrio do servidor de cache e portanto todo
trafego que o servidor de cache solicitar ir passar pelo MikroTik, para
isso devemos configurar o mascaramento desta classe em IP /
Firewall / NAT, adicione uma nova regra da mesma forma que o
fizemos quando criamos o mascaramento para os clientes.

Na aba General no campo Chain selecione srcnat em seguida no


campo Src. Address: digite 192.168.10.252/30 que ser destinada a
comunicao entre o cache e o MikroTik, em seguida no campo Out
Interface selecione a interface utilizada na comunicao com a
internet EthLinkD, e por ltimo na aba Action e campo de mesmo
nome selecione masquerade.
E com isso conclumos o mascaramento da rede que dar suporte ao
servidor de cache.
Nossa tabela NAT deve agora estar como abaixo:

Agora vamos criar as marcaes para o desvio do trafego via tabela


mangle para redirecionar as requisies da porta 80 at o cache N!
MOC seguindo o exemplo a seguir .

Acesse IP / Firewall / Mangle e insira uma nova regra, na abra


General selecione a Chain prerouting, Protocol tcp e Dst. Port
80 ainda em In. Interface selecione a EthCache e marque a flag !
que significa negao, ou seja todas as interfaces menos esta, na aba
Extras em Src. Address List informe o nome da lista que ir conter
a lista que ir conter os IPs dos clientes e servidores internos que no
devero passar pelo cache. Em seguida informe em Dst. Address
List a lista de IPs que ir conter os endereos de sites da internet os
quais no deseja que passem pelo cache, e no esquea de marcar a
flag de negao ! para ambas as listas.
Vamos agora para a aba Action e na opo de mesmo nome
selecionamos mark routing e em New Routing Mark nossa
marcao de rota personalizada chamaremos de to_nimoc, com
relao a flag Passthrough podemos deixar marcada se desejamos

que o trafego continue a ser analisado pelas regras seguintes da


tabela ou desmarcarmos se no quisermos, relativo e depende
muito do que se vai fazer nas regras seguintes, no exemplo
deixaremos marcada pois nosso exemplo ser limitado e no teremos
regras conflitantes que poderiam sobre gravar nossa marcao.
Esta regra como foi concebida far a marcao de rota sobre os IPs
10.0.0.0/24 utilizados pelo plano/profile PC.Conecta do PPPoE
Server com a identificao de to_nimoc.
IMPORTANTE: Quando os IPs a receber a marcao forem privados
e mascarados, no h necessidade de tratar o retorno e a regra acima
far toda a marcao necessria bastando adicionar uma rota na
tabela de rotas, porm quando se tratar de uma classe de IPs pblicos
ou mesmo uma classe cujo mascaramento estiver atrs do
equipamento onde estamos fazendo esta marcao fazendo com que
utilizemos o TPROXY, existe a necessidade de tratarmos o retorno
conforme a regra que segue.

Acesse IP / Firewall / Mangle e insira uma nova regra, na abra


General selecione a Chain prerouting, Protocol tcp e Src. Port
80 ainda em In. Interface selecione EthLinkD, na aba Extras em
Src. Address List informe o nome da lista que ir conter os IPs dos
clientes e servidores internos que no devero passar pelo cache.
Em seguida informe em Dst. Address List a lista de IPs que ir
conter os endereos de sites da internet os quais no deseja que
passem pelo cache, note que aqui invertemos a posio das listas e
isso proposital j que estamos tratando o trafego de retorno, e por
ltimo na aba Action no recurso de mesmo nome selecione mark
routing e em New Routing Mark informamos o nome da rota que
ser to_nimoc mantendo a flag Passthrough marcada.

A tabela acima contm apenas a marcao de rotas necessria para


uso com TPROXY ativado, em caso de TPROXY desativado e classes de
IPs privados como no exemplo 10.0.0.0/24 s necessria a primeira
regra onde utilizamos Src. Address e a segunda deve ser eliminada.
Vale ainda lembrar que devemos ter uma regra ou conjunto de regras
para cada classe de IPs que desejamos marcar as rotas para envio ao
cache.
__________________________________________________________________
N!MOC Power Regras teis
Adiciona IP a interface do MikroTik que far comunicao com N!MOC
Power.
Cdigo :
/ip address
add address=192.168.10.253/24 comment=PC.NiMOC disabled=no interface=EthCache

Ativa resoluo DNS para equipamentos remotes.


Cdigo :
/ip dns
set allow-remote-requests=yes

Bloqueio de acesso externo ao cache N!MOC Power.


Cdigo :
/ip firewall filter

add action=drop chain=input comment=PC.NIMOC disabled=no dst-port=8080 ininterface=EthLinkD protocol=tcp

Bloqueio de acesso externo ao DNS N!MOC Power.


Cdigo :
/ip firewall filter
add action=drop chain=input comment=PC.NIMOC disabled=no dst-port=53 ininterface=EthLinkD protocol=udp

Suporte ao SSH N!MOC Power.


Cdigo :
/ip firewall nat
add action=dst-nat chain=dstnat comment=PC.NiMOC disabled=no dst-port=220
protocol=tcp to-addresses=192.168.10.254 to-ports=22

Suporte ao relatrio HTTP N!MOC Power.


Cdigo :
/ip firewall nat
add action=dst-nat chain=dstnat comment=PC.NiMOC disabled=no dst-port=8282
protocol=tcp to-addresses=192.168.10.254 to-ports=82

Marcao de rota para IP privado no N!MOC Power.


Cdigo :
/ip firewall mangle
add action=mark-routing chain=prerouting comment=PC.NIMOC disabled=no dstaddress-list=!sem_cache_dst dst-port=80 in-interface=!EthCache new-routingmark=to_nimoc passthrough=yes protocol=tcp src-address=10.0.0.0/24 srcaddress-list=!sem_cache_src

Marcao de rota para IP pblico no N!MOC Power.


Cdigo :
/ip firewall mangle
add action=mark-routing chain=prerouting comment=PC.NIMOC disabled=no dstaddress-list=!sem_cache_dst dst-port=80 in-interface=!EthCache new-routingmark=to_nimoc passthrough=yes protocol=tcp src-address=200.201.202.0/24 srcaddress-list=!sem_cache_src
add action=mark-routing chain=prerouting comment=PC.NIMOC disabled=no dstaddress=200.201.202.0/24 dst-address-list=!sem_cache_src in-interface=EthLinkD
new-routing-mark=to_nimoc passthrough=yes protocol=tcp src-address-list=!
sem_cache_dst src-port=80

Redirecionamento de rota para N!MOC Power.


Cdigo :
/ip route

add comment=PC.NIMOC disabled=no distance=1 dst-address=0.0.0.0/0


gateway=192.168.10.254 routing-mark=to_nimoc scope=30 target-scope=10

Lista de IP dos sites que no devero passar pelo cache N!MOC Power.
Cdigo :
/ip firewall address-list
add address=1.2.3.4 comment="PC.NIMOC - IP DE SITE SEM CACHE" disabled=no
list=sem_cache_dst

Lista de IP dos clientes que no devero passar pelo cache N!MOC


Power.
Cdigo :
/ip firewall address-list
add address=1.2.3.4 comment="PC.NIMOC - IP DE CLIENTE SEM CACHE" disabled=no
list=sem_cache_src

Monitoramento do N!MOC Power e desativao automtica de


marcaes.
Cdigo :
/tool netwatch
add comment=PC.NIMOC disabled=no down-script="/ ip firewall nat set [find
comment=PC.NIMOC ] disabled=yes\r\
\n/ ip firewall mangle set [find comment=PC.NIMOC ] disabled=yes"
host=192.168.10.254 interval=5s timeout=2s up-script=\
"/ ip firewall nat set [find comment=PC.NIMOC ] disabled=no\r\
\n/ ip firewall mangle set [find comment=PC.NIMOC ] disabled=no"

Monitoramento da internet e desativao automtica de marcaes.


Cdigo :
/tool netwatch
add comment=PC.NIMOC disabled=no down-script="/ ip firewall nat set [find
comment=PC.NIMOC ] disabled=yes\r\
\n/ ip firewall mangle set [find comment=PC.NIMOC ] disabled=yes"
host=8.8.8.8 interval=30s timeout=5s up-script=\
"/ ip firewall nat set [find comment=PC.NIMOC ] disabled=no\r\
\n/ ip firewall mangle set [find comment=PC.NIMOC ] disabled=no"
add comment=PC.NIMOC disabled=no down-script="/ ip firewall nat set [find
comment=PC.NIMOC ] disabled=yes\r\
\n/ ip firewall mangle set [find comment=PC.NIMOC ] disabled=yes"
host=200.221.2.45 interval=30s timeout=5s up-script=\
"/ ip firewall nat set [find comment=PC.NIMOC ] disabled=no\r\
\n/ ip firewall mangle set [find comment=PC.NIMOC ] disabled=no

__________________________________________________________________
Cache Full
Chegamos a um ponto importante, tanto se ouve falar em Cache Full
que a definio propriamente dita se torna confusa, seria um cache
cheio ?
Cache Full na definio dos usurios que o utilizam significa enviar o
contedo web normalmente do tipo multimdia e armazenado em
proxy cache local para os usurios/clientes da rede furando o controle
de banda convencional da Queue Simple utilizando para isso a
marcao de pacotes e a Queue Three que comumente utilizada
para controle em sistemas de QoS.
O mais comum encontrado em dezenas de paginas web baseado na
marcao de pacotes contendo o parmetro o que pode ser feito pela
tabela Mangle na Chain postrouting, em seguida na aba
Advanced em Content digitando X-Cache: HIT seguindo para a
aba Action em campo de mesmo nome selecione mark packet e
em New Packet Mark digite cachefull. Sequer darei um exemplo
utilizando a Queue Three por considerar que este mtodo possui
uma srie de problemas graves.
No entanto existem outros mtodos possveis que podem ser
aplicados, um dos quais relaciono abaixo tpicos que considero mais
importantes.
1 Marcar os pacotes pelo DSCP/TOS e no pela Content, isso
porque este segundo mtodo alm de inseguro ineficaz e exige
maior processamento.
2 Informar por onde o trafego adentra ao MikroTik e/ou para onde
segue, isso ajuda a diminuir a carga e evita que a marcao seja
utilizada para enviar algum outro contedo forjado com a mesma
marcao.
3 Criar uma Queue Type que vai fazer o controle individua de uso
do contedo previamente marcado.
4 Criar uma Simple Queue que ser responsvel por limitar o
trfego que ser enviado para determinada classe de IPs. E inserir
nela o controle individual como veremos a seguir.
1.1 - Comecemos marcando os pacotes, para isso acesse IP / Firewall /
Mangle e insira uma nova regra, na abra General selecione a
Chain prerouting, Protocol tcp, In. Interface EthCache, na aba
Advanced em DSCP(TOS) informe o valor 18 que corresponde a
marcao 72 no exemplo.

Ainda na mesma regra na aba Action, campo de mesmo nome


selecione a opo mark connection e logo abaixo no campo New
Connection Mark digite conn_nimoc. Clique em OK e esta pronta
esta primeira regra, o que ela faz identificar as conexes oriundas
do servidor de cache e que contm a marca desejvel recebida via
DSCP/TOS, ainda falta marcar os pacotes dessas conexes o que
faremos na segunda regra.

Dica: para saber como funciona a relao entre valores basta saber
que 0 = 0, 1 = 4, 2 = 8, 3 = 12 e finalmente 18 = 72, portanto
multiplique a marcao informada no MikroTik por 4 e vai obter o
valor a ser configurado no parmetro DSCP/TOS quando suportado
pelo cache. N!MOC Power tem suporte a DSCP/TOS.
1.2 Adicione uma nova regra e na abra General a Chain

prerouting, e logo abaixo no campo Connection Mark selecione a


marcao chamada conn_nimoc, v at a aba Action no campo de
mesmo nome selecione mark packet e logo abaixo em New Packet
Mark vamos colocar a identificao dos pacotes como pack_nimoc,
tendo o cuidado de desmarcar Passthrough pois no queremos que
o mesmo pacote esteja sujeito a receber outra marca depois dessa o
que faria com que a marca anterior fosse sobrescrita inutilizando
nossa primeira marcao.

Tabela mangle contendo apenas regras para marcao do contedo


em cache.

Em Queue Type adicione uma nova a qual daremos o nome de


nimoc_conecta levando o nome do servidor de cache mais o plano
de acesso onde ser utilizada. No campo kind selecione o tipo pcq
se no sabe como funciona cada controle de filas recomendo que
busque no manual, o pcq um dos mais prticos e faz muito bem o
trabalho neste caso.
No campo Rate podemos definir duas formas distintas de se
trabalhar no caso do pcq, deixando o campo com valor 0 significa
sem limite ou seja, o que for definido no queue pai ser o limite e os
casos que se enquadrarem neste queue type dividiro o valor do
limite entre si, pode ser desejvel em muitos casos. No nosso
exemplo vamos definir o valor de 256k pois queremos forar este
limite individual, logo abaixo nos campos Limit e Total Limit
vamos manter os valores padres que so adequados para o que j
configuramos anteriormente neste exemplo, interessante que
busquem estas informaes nos manuais pois elas podem fazer a
diferena entre um servio congestionado e uma internet navegando
solta.

Na seqncia temos quatro possveis opes de classificadores ou


Classifier, vamos marcar apenas uma delas que a Dst. Address
ou seja do ponto de vista do servidor por endereo de destino.
3.2 O prximo passo criar o controle que ir utilizar a Queue
Type recm criada, acesse Queue List e na aba Simple Queue
criemos uma nova a qual iremos chamar de NIMOC-Conecta, em
Target Address identifique os IPs que sero de certa forma
favorecidos por ela, no nosso caso os do plano PC.Conecta
representados pela classe 10.0.0.0/24, nos campos Max Limit
devemos nos preocupar apenas com o Target Download, explicarei
logo mais, para este campo vamos utilizar o valor de 2M ou seja 2
Megas.

Seguimos para a prxima aba Advanced e nela selecionamos a


Queue Type de nome nimoc_conecta criada no passo anterior.
Chegamos no pulo do gato, temos agora um controle que restringe
em 2 Megas para toda a classe de IPs 10.0.0.0/24 que atende os
clientes do plano de 128k sendo que o controle individual quem faz
a Queue Type a qual chamamos de nimoc_conecta, neste estgio
voc deve estar se perguntando como identificar os pacotes oriundos
do cache para que tal controle seja somente para o contedo vindo
do cache com a marcao que fizemos, para tanto na aba Advanced
selecione em Packet Marks a marcao criada sobre os pacotes
vindos do cache que chamamos de pack_nimoc.

O ltimo passo fazer com que este controle seja sempre o primeiro
na lista Queue Simple e para isso basta arrastar para a primeira
posio da lista, caso utilize HOTSPOT ir precisar de um script para
que cada vez que algum logue no sistema ele redefina a ordem da
lista jogando este controle pra primeira posio, como no o caso
do nosso exemplo vou tomar a liberdade e pular esta etapa.
Com a soluo proposta espero liquidar de vez o chamado CacheFull
que s traz dores de cabea e deteriora completamente as conexes
wireless, no que o que propomos aqui se implementado
erroneamente tambm no o faa mas o risco menor se voc
compreender o que esta fazendo do que configurar as cegas.

O resultado dessa implementao que o cliente ainda ter os 128k


de download quando o trfego for oriundo da internet porm ele ter
mais 256k quando o contedo j estiver em cache totalizando uma
banda de navegao de 384k fazendo o cliente muito mais satisfeito
e o provedor muito mais econmico e competitivo com a banda
disponvel, como resultado temos uma melhora significativa em
servios com consumo de streaming, o cliente ainda consegue
navegar pelos sites mais visitados e falar ao skype ou utilizar
tecnologias similares gastando o mnimo de banda do seu link.
__________________________________________________________________
Repasse de IP Pblico com exemplo para PPPoE
Exemplo 1:
O Provedor recebe o link dedicado e uma classe /29, utiliza o primeiro
IP dessa classe como gateway e o segundo como IP do seu servidor
MikroTik .
1.1 - Neste caso, configure a interface do Link como proxy-arp e a
interface dos clientes como reply-only depois adicione a seguinte
regra no MikroTik em NEW TERMINAL e cole:
Cdigo :
/ ip firewall nat
add chain=dstnat action=passthrough src-address=XX.XX.XX.XX/XX
comment="REPASSE DE IP" disabled=no

Onde XX.XX.XX.XX/XX o IP/MASCARA que tiver disponvel do seu link


Aps ter feito isso adicione cada IP no campo 'Remote Address' em
'PPP secret' para cada cliente que tiver 'IP Pblico e fixo'. Ou crie uma
pool em IP / Pool' contendo os IPs disponveis e defina esta 'pool' no
'profile' default de seu servidor PPPoE ou ainda apenas no
profile/plano que estiverem os clientes que vo receber IP Pblico e
estes tero um IP dinmico que poder mudar a cada nova conexo.
Dica: PROXY-ARP no o mtodo mais seguro, mas permite alguma
flexibilidade quando no dispuser de muitos IPs e no tiver acesso
configurao do roteador de borda.
Dica: No crie um mascaramento dito 'genrico', mascare apenas as
classes de IP privadas que estiverem em uso. Ex: 10.0.0.0/24
Dica: Sempre informe a 'out-interface' no mascaramento como sendo
a interface do link (EthLinkD).

Dica: Cuidado com programas de gerenciamento para provedores


que criam regras em seu sistema, essa pode ser a causa de muitos
problemas.
Exemplo 2:
O provedor recebe o link dedicado em uma classe e possui outras
classes adicionais para utilizar com clientes, ou ainda pode quebrar
em subclasses para criar seu roteamento interno.
Este o tpico caso onde podemos aplicar o roteamento de forma
bastante simples.
Basicamente o que deve fazer seguir com o roteamento da
operadora 'pra dentro' da sua estrutura, vamos l:
2.1 - Coloque um IP pblico na interface do link.
2.2 - Defina as classes pblicas nos pools de IPs que ir utilizar para
seus usurios e a cadeia de conexo que devero seguir. Ex: PoolA
cai no PoolB quando estiver cheio e assim por diante, recomendo que
faa isso pois ter um melhor controle e poder utilizar para cada
pool de IPs um plano diferente e isso pode ter vrias implicaes
positivas em uma futura QoS.
2.3 - No profile padro do PPPoE Server indique que o 'Local
Address' que ser o gateway default dos clientes o IP pblico da
interface do link, assim o roteamento estar completo.
Trocando em midos, voc estar indicando que a rota de sada dos
IPs segue seu roteamento padro.
Dica: Nunca mascare classes de IPs pblicos a no ser que tenha
uma boa justificativa, como por exemplo por possuir poucos IPs pode
criar um mascaramento para cada plano e indicar uma sada para
cada plano ou grupo de clientes ou seja, clientes do planoA/grupoA
saem mascarados pelo ip pblico A, do B pelo B e assim por diante.
Exemplo 3:
Repassando mais de um IP pela conexo PPPoE utilizando roteamento
esttico.
3.1 - Defina um IP fixo para o cadastro do secret/usurio em questo
no campo 'Remote Address', pode at ser um IP privado.
3.2 - Acesse o menu IP / Route e adicione uma rota contendo no
destino Dst-Address os IPs que deseja repassar e no gateway o IP do
usurio que definiu no cadastro do usurio/secret no passo anterior.
Obs.: Se tiver muitos clientes com esta mesma necessidade este
mtodo invivel e se faz necessrio implantar o OSPF para o
gerenciamento das rotas. Na maioria dos casos a implantao
simples e rpida e vai depender de como a rede estiver configurada.
Exemplo 4:

Repasse de IP pblico utilizando roteamento interno por OSFP.


No caso de muitas rotas e/ou onde j tiver a autenticao na borda
dever optar por um mtodo de roteamento dinmico e uma das
vantagens que com isso economizar recursos da central,
diminuindo o trfego de broadcast e possivelmente aumentando a
segurana da sua rede de distribuio.
Se for migrar uma bridge de distribuio por exemplo, o primeiro
passo passar a autenticao para as bordas, e na seqncia rotear
os dispositivos conectados a borda, seguindo em direo a sada do
link, com isso ser possvel fazer a migrao a quente e continuar
usufruindo da estrutura em bridge at a virada total.
OSPF bsico tambm rpido de fazer configurar, voc tem de
definir a network rea que far o transporte redistribuindo a rota
default e redistribuir as conectadas tipo 1 no seu servidor ou apenas
as conectadas quando tiver fixa a rota default.
FIG
Nas bordas precisa configurar a mesma network para o transporte e
na instncia redistribuir a rota default e conectadas tipo 2 ou apenas
as conectadas na maioria dos casos.
FIG
Dessa forma teremos o funcionamento esperado e ser possvel
visualizar as instncias UP em ambos os lados.
No exemplo temos 22 pontos participando do OSPF na rea backbone.
FIG
Tambm podem existir outras reas entre a borda e o seu
concentrador aumentando a complexidade e at terminar num anel
podendo utilizar essa topologia como backup de rotas com stp ou rstp
e a possibilidade de custos diferenciados para cada sada permitindo
balancear melhor o trfego.
__________________________________________________________________
PCC Load Balance
No exemplo utilizaremos Mikrotik 3.30 e 3 links de mesma velocidade.
EthLinkA = Interface do 1 link
EthLinkB = Interface do 2 link
EthLinkC = Interface do 3 link

EthLB = Interface de sada do balance


Quando em modo roteado:
10.1.10.129 = IP do modem A
10.1.10.161 = IP do modem B
10.1.10.193 = IP do modem C
Endereos das interfaces no MikroTtik ROS PCC Balance
10.1.10.130/27 = IP da interface EthLinkA
10.1.10.162/27 = IP da interface EthLinkB
10.1.10.194/27 = IP da interface EthLinkC
172.22.22.1/30 = IP de sada do balance
Endereo da interface do Servidor - Autenticador
172.22.22.2/30 = IP do servidor conectado a sada do balance
Regras e explanaes sobre PCC
Tabela MANGLE Lista de destinos sem balanceamento
Cdigo :
/ip firewall mangle
add action=accept chain=prerouting comment="PC.SB" disabled=no dst-addresslist=sem_balance in-interface=EthLB

Esta regra aceita as conexes para todos os IPs de destino que se


encontrarem na lista 'sem_balance' que iro sair pela rota padro,
veja o texto mais adiante.
Tabela MANGLE Marcao de conexes
Cdigo :
/ip firewall mangle
add action=mark-connection chain=input comment="PC.IN" connection-state=new
disabled=no in-interface=EthLinkA new-connection-mark=conn_na passthrough=yes
add action=mark-connection chain=input comment="" connection-state=new
disabled=no in-interface=EthLinkB new-connection-mark=conn_nb passthrough=yes
add action=mark-connection chain=input comment="" connection-state=new
disabled=no in-interface=EthLinkC new-connection-mark=conn_nc passthrough=yes

Cria as marcas (conn_na, conn_nb, conn_nc) para novas conexes em


cada uma das interfaces (EthLinkA, EthLinkB, EthLinkC)
Tabela MANGLE Marcao de rotas
Cdigo :

/ip firewall mangle


add action=mark-routing chain=output comment="PC.OUT" connection-mark=conn_na
disabled=no new-routing-mark=to_ra passthrough=no
add action=mark-routing chain=output comment="" connection-mark=conn_nb
disabled=no new-routing-mark=to_rb passthrough=no
add action=mark-routing chain=output comment="" connection-mark=conn_nc
disabled=no new-routing-mark=to_rc passthrough=no

Utiliza as marcaes (conn_na, conn_nb, conn_nc) para criar as


marcaes das respectivas rotas (to_ra, to_rb, to_rc)
Tabela MANGLE Peer Connection Classifier (Identificao das
conexes)
Aqui comea o PCC propriamente dito.
Cdigo :
/ip firewall mangle
add action=mark-connection chain=prerouting comment="PC.CON" disabled=no dstaddress-type=!local in-interface=EthLB new-connection-mark=conn_na
passthrough=yes per-connection-classifier=both-addresses:3/0
add action=mark-connection chain=prerouting comment="" disabled=no dstaddress-type=!local in-interface=EthLB new-connection-mark=conn_nb
passthrough=yes per-connection-classifier=both-addresses:3/1
add action=mark-connection chain=prerouting comment="" disabled=no dstaddress-type=!local in-interface=EthLB new-connection-mark=conn_nc
passthrough=yes per-connection-classifier=both-addresses:3/2

Agora utilizando os classificadores (0, 1 e 2) na interface de sada do


balance EthLB criamos novas marcas de conexo (conn_na,
conn_nb, conn_nc).
Note que se tivssemos 4 links seria aqui que faramos as alteraes
para (0, 1, 2 e 3) ficando 4/0, 4/1, 4/2, 4/3 ou ainda se tivssemos
links assimtricos ( Ex: LinkX de 512k - LinkY de 1024k - LinkZ de
2048k), deveramos somar os valores de todos os links e dividir pelo
valor do menor link ento teramos:
Exemplo: (512k + 1024k + 2048k )/ 512k = 7
Assim teramos 7 marcaes de PCC indo de 7/0 at 7/6 das quais
deveramos direcionar a primeira pro link X, a segunda e terceira pro
link Y e as quatro restantes para o link Z fazendo nosso sistema
perfeitamente equilibrado, vale ressaltar que sistemas do tipo ADSL
no garantem a banda.
Portanto devemos fazer testes em cada um dos links para aferir as
velocidades possveis em cada um, j vi muitos casos onde um link
desse tipo de 2MB era melhor do que o de 4MB da mesma operadora

instalada no mesmo local, essa relao depende diretamente da


ocupao/uso instantneo do concentrador da operadora ao que cada
link estiver conectado, normalmente adsl.
Utilizando das novas marcaes de conexo (conn_na, conn_nb e
conn_nc) do passo anterior (PCC), criamos uma nova marcao de
rota para os pacotes entrando pela interface EthLB que chamaremos
novamente de to_ra, to_rb e to_rc.
Tabela MANGLE Peer Connection Classifier (marcao das
rotas)
Cdigo :
/ip firewall mangle
add action=mark-routing chain=prerouting comment="PC.MR" connectionmark=conn_na disabled=no in-interface=EthLB new-routing-mark=to_ra
passthrough=no
add action=mark-routing chain=prerouting comment="" connection-mark=conn_nb
disabled=no in-interface=EthLB new-routing-mark=to_rb passthrough=no
add action=mark-routing chain=prerouting comment="" connection-mark=conn_nc
disabled=no in-interface=EthLB new-routing-mark=to_rc passthrough=no

Assim tendo as conexes devidamente identificadas (conn_nX) e rotas


definidas para cada conexo (to_rX), seguimos para o mascaramento.
Tabela NAT - Mascaramento
Cdigo :
/ip firewall nat
add action=masquerade chain=srcnat comment="PC.MSQ " disabled=no outinterface=EthLinkA
add action=masquerade chain=srcnat comment="" disabled=no outinterface=EthLinkB
add action=masquerade chain=srcnat comment="" disabled=no outinterface=EthLinkC

Vale ressaltar que o mascaramento pode ser feito de vrias formas,


indicando por exemplo o IP da interface de sada utilizando a action
src-nat (no caso de termos mais de um IP de sada na mesma
interface). Pela interface de cada link como acima, ou ainda apenas
mascarando a interface de sada do balance EthLB em negao
como abaixo, escolha a sua de acordo com o seu entendimento e
necessidade.
Cdigo :
/ip firewall nat

add action=masquerade chain=srcnat comment="PC.MSQ " disabled=no outinterface=!EthLB

Tabela NAT DMZ / Demilitarized Zone


Cdigo :
/ip firewall nat
add action=dst-nat chain=dstnat comment=PC.DMZ disabled=no dst-port=!8291 ininterface=!EthLB protocol=tcp to-addresses=172.22.22.2

O exemplo acima redireciona todas (menos as da porta 8291 que do


acesso ao winbox) as entradas pelas interfaces diferentes da
EthLB, portanto estamos nos referindo as entradas dos links, para o
IP 172.22.22.2 que no caso ser o servidor ligado a sada do balance.
O DMZ evita ter que criar uma regra para cada porta e cria uma zona
de acesso direto havendo correspondncia entre as portas, pode-se
excluir uma ou mais portas do DMZ caso tenham um destino
diferente.
No caso da porta de origem ser diferente da porta destino, devemos
criar uma regra indicando tal situao e posicion-la antes da regra
do DMZ.
Cdigo :
/ip firewall nat
add action=dst-nat chain=dstnat comment=PC.WBX disabled=no dst-port=8292 ininterface=!EthLB protocol=tcp to-addresses=172.22.22.2 to-ports=8291

A regra acima serve para o acesso do servidor pelo winbox a partir da


internet por qualquer dos links conectados ao balance e deve estar na
tabela NAT antes da regra de DMZ.
Seguimos para a prxima etapa onde iremos definir as rotas padro e
backup para cada marcao criada at agora.
Tabela ROUTE Indicao de rotas e redundncia
Definimos 3 rotas sendo que cada uma tem um custo diferente e
portanto a primeira ter a preferncia (distance=1), caso venha a
faltar a segunda assume(distance=2), em seguida a
terceira(distance=3).
Cdigo :
/ip route
add comment="" disabled=no distance=1 dst-address=0.0.0.0/0
gateway=10.1.10.129

add comment="" disabled=no distance=2 dst-address=0.0.0.0/0


gateway=10.1.10.161
add comment="" disabled=no distance=3 dst-address=0.0.0.0/0
gateway=10.1.10.193

Sendo a rota de custo menor (ex: distance=1) a rota padro (default)


para todas as conexes que no receberem marca de rotas, nesta
lista incluem-se os servios e destinos da lista sem_balance
comentada no inicio, portanto interessante que este link tenha boa
capacidade pois alm das conexes oriundas das marcaes ir
receber o trafego sem marcao.
Em seguida todas as 3 rotas que utilizam marca de rotas to_ra,
to_rb e to_rc dividem a carga que foi previamente marcada na
tabela mangle.
Enviando to_ra para o gateway 10.1.10.129, to_rb para o gateway
10.1.10.161 e to_rc para o gateway 10.1.10.193 todas com
distance=1 ou seja, como primeira opo de todas as marcaes.
Cdigo :
/ip route
add comment="" disabled=no distance=1 dst-address=0.0.0.0/0
gateway=10.1.10.129 routing-mark=to_ra
add comment="" disabled=no distance=1 dst-address=0.0.0.0/0
gateway=10.1.10.161 routing-mark=to_rc
add comment="" disabled=no distance=1 dst-address=0.0.0.0/0
gateway=10.1.10.193 routing-mark=to_rb

Podemos ainda definir links de backup para cada marcao e no caso


se um dos links cair, o link de backup assume a tarefa de transmitir os
pacotes como fizemos para a rota padro, agora tambm para as
marcaes de rota.
Cdigo :
/ip route
add comment="" disabled=no distance=2 dst-address=0.0.0.0/0
gateway=10.1.10.161 routing-mark=to_ra
add comment="" disabled=no distance=2 dst-address=0.0.0.0/0
gateway=10.1.10.193 routing-mark=to_rc
add comment="" disabled=no distance=2 dst-address=0.0.0.0/0
gateway=10.1.10.129 routing-mark=to_rb

Note que a o gateway de backup para to_ra 10.1.10.161, para


to_rb 10.1.10.193 e para a to_rc 10.1.10.129.
Pode-se opcionalmente criar vrias rotas de backup com custos

(distance) diferentes at cobrir todas as possibilidades.


Dica: Tambm possvel fazer com que o prprio Mikrotik ROS disque
as conexes do tipo ADSL/PPPOE aumentando a eficincia do sistema
e utilizando modens em bridge, sendo que neste caso recomendado
fazer o mascaramento e indicao do gateway ambos pela interface
pppoe-out e no mais pelo IP.
Dica: com relao ao usar o check ping, devemos tomar cuidado pois
links de diferentes tipos tendem a ter diferentes tempos de resposta
ao ping e quando este mtodo utilizado pode ocorrer desigualdade
entre os consumos dos links apesar de as marcaes estarem
corretas, isso porque o sistema leva em considerao o tempo de
resposta de cada gateway.
Dica: para que o balance PCC funcione de maneira mais adequada, o
menor link deve ser superior ao maior plano comercializado e a maior
eficincia do balance depende de requisies menores chegando ao
balance em grande quantidade e no a poucas requisies em maior
quantidade, lembre-se disso, balance no soma de link mas sim a
diviso das requisies.
__________________________________________________________________
DMZ no MikroTik
Se o que voc quer no caso apenas um redirecionamento
pblico/privado e seu retorno, tens duas formas bastante simples de
fazer, por dst-nat e src-nat ou utilizando netmap, observe os
exemplos que seguem.
Adicione o ip pblico e mascara a interface pblica do mikrotik
(entrada do link).
Na tabela NAT adicione uma regra cuja chain dst-nat redirecione o
que chegar para o ip pblico utilizando tambm a action dst-nat para
o ip privado, identificando a interface de entrada como sendo o seu
link.
Cdigo :
/ip firewall nat
add action=dst-nat chain=dstnat comment="PC.DSTR" disabled=no dstaddress=200.201.202.1 in-interface=EthLinkD to-addresses=10.90.1.1

Na sequencia faa o oposto, mascarando as requisies que


chegarem do ip privado para sairem pelo ip pblico identificando a

interface de sada como sendo o link.


Cdigo :
/ip firewall nat
action=src-nat chain=srcnat comment="PC.MSQR" disabled=no outinterface=EthLinkD src-address=10.90.1.1 to-addresses=200.201.202.1

E no esquea de colocar estas regras antes do seu mascaramento


geral para que tenha o resultado esperado, este um exemplo de
NAT 1:1, voc tambm pode utilizar o netmap para a funo e fazer o
repasse para uma range de IPs sem necessidade de criar uma regra
para cada IP.
__________________________________________________________________
Utilizao de Burst no MikroTik
Acredito que a dvida seja compartilhada com muitos, vou tentar
explicar apartir de exemplo simples o funcionamento do burst.
ML - Max Limit 120k = Mxima taxa de transferncia aps atingido o
limite que ser calculado com base no tempo de 8s podendo atingir a
velocidade mxima de 'Burst Limit = 300k'
BL - Burst Limit 300k = Limite mximo de velocidade usando o
recurso de Burst ou em portugus 'Rajada' ou ainda Estouro.
BT - Burst Threshold 96k = Valor que poder ser consumido para ter
direito a novo BL de 300k
TB - Burst Time 8s = Tempo sobre o qual so calculados os limites de
velocidade
Na prtica: o burst calculado utilizando ciclos com base no TB/16
(dividido por 16), no exemplo acima teremos o ciclo de calculo
executado a cada 0.5s ou seja, duas vezes por segundo, o que
significa dizer que a cada meio segundo sero analisados os ltimos
8s (TB) do trfego.
De uma forma geral para ter direito ao burst o resultado calculado de
BT deve ser inferior ao valor informado para BT, seguindo frmula:
(BTT/TB) < BT, onde BTT a mdia do consumo nos ltimos X
segundos definidos em TB.
Exemplo:
1s 2s 3s 4s 5s 6s 7s 8s
300k + 100k + 200k + 50k + 30k + 200k + 250k + 150k = 1280k
1280k/8s = 160k/s
Sendo a frmula para a liberao de novo burst BTT / TB < BT e o

valor definido de BT atual definido de 96k, o calculo deste ciclo nos


mostra o BT em 160k/s, ou seja, maior que 96k, o burst no ser
liberado e o valor limite continua sendo de ML.
Ainda que o consumo nos prximos 6 segundos se mantenham em
120k:
250k + 150k + 120k + 120k + 120k + 120k +120k + 120k = 1120k
1120k/8s = 140k/s
O resultado continua acima do valor definido para BT que de 96k,
no tendo direito a novo burst at que o resultado do ciclo seja
inferior a BT.
Suponhamos que nos prximos 2 segundos o consumo caia:
120k + 120k 120k + 120k + 120k + 120k + 12k + 12k = 744k
744k/8s = 93k
Neste instante o valor calculado inferior ao definido em BT, sendo
assim j estar liberado novamente o valor de BL para a prxima
solicitao.
Se voc chegou at aqui parabns, j consegui o que buscava ao
escrever este material.
__________________________________________________________________

NIMOC Power Cache


Se quiser continuar farei uma explanao sobre o N!MOC Power, um
sistema de cache que desenvolvemos focado em alto desempenho
entenda-se isso por rapidez e alto ganho.
O N!MOC Power incorpora os mais importantes recursos suportados
por servidores cache, trabalha com contedo dinmico e esttico dos
mais diversos sites suportando grande volume de carga e
armazenamento. Orkut, YouTube, Microsoft, dezenas de antivrus e
sites de contedo multimdia de todos os tipos so suportados, hoje
so mais de 480 plugins j disponveis e mesmo sem a existncia
destes todo o trafego que passar pelo NIMOC ter seu contedo
analisado e alocado em disco quando configurado.
Suporte nativo a T-PROXY, REDIRECT, DSCP/TOS em diversos nveis,
personalizao de plugins e listas so alguns dos recursos bsicos
presentes.

Recursos inovadores e exclusivos garantem a desempenho superior, a


verso LYE agrega adicionais importantssimos e na maioria inditos.
O sistema N!MOC distingue-se dos similares por oferecer um ganho
superior tanto em economia quanto em desempenho, o tempo de
resposta aproximadamente 6x menor que os demais, podendo
ultrapassar incrveis 50x para abertura de pginas e no estou
falando sobre acelerao via Queue Type como alguns podem estar
imaginando.
O contedo armazenado localmente passvel de uso por outras
aplicaes, sendo que nada adicionado aos arquivos originais, os
mesmos so armazenados da mesma forma que so recebidos ou
armazenados na internet excludo os utilizadores de responsabilidade
por hospedar contedo ilegal e mantendo-se dentro das normativas e
leis internacionais que protegem alguns tipos de contedo.
O N!MOC tem suporte incluso, voc no precisa se preocupar com o
suporte do servidor, faremos isso pra voc sem custo adicional e o
valor acessvel a provedores ou empresas de qualquer porte.
No necessrio acessar nenhum painel, configurar nenhuma opo,
basta ligar o servidor e j estar funcionando, quando e se for
necessria alguma interveno ela ser feita por pessoal altamente
capacitado e homologado na plataforma.
Quando a implantao for feita por nossa equipe, oferecemos a
Garantia Life Time, ou seja, pelo tempo que voc utilizar o sistema.
S quem tem o melhor pode oferecer algo assim, garantia por toda a
vida do produto s com mxima qualidade do N!MOC Power LYE.
As atualizaes so disponibilizadas sem custo conforme o plano
escolhido e no necessria uma parada do sistema para 90% das
atualizaes, ou seja, as conexes dos usurios no so
interrompidas, os downloads no param no meio e isso significa muito
menos aborrecimentos pra voc.
Se voc tem interesse em ser representante ou desenvolvedor
homologado de aplicaes, envie-nos o seu currculo, necessria
experincia em sistemas operacionais e desejvel conhecimento de
duas das plataformas suportadas, nossa inteno no limitar o
nmero de profissionais homologados, mas nivelar por cima as
solicitaes para que os clientes ao receberem o suporte, este seja
adequado e livre falhas.
Fornecemos o treinamento necessrio inclusive para o sistema
operacional ento se voc ainda no possui o conhecimento no
deixe de busc-lo.

E no se esquea de quando usar ou citar material de terceiro em


incluir as fontes, isso no vergonha muito pelo contrrio sinal de
respeito e reconhecimento e tambm nos qualifica.
Meus sinceros agradecimentos ao under-linux, seus mantenedores e
colaboradores que fazem desse o melhor frum tcnico da Amrica
Latina.
Ao colega de frum Anderson Machado por sua dedicao e
incontveis colaboraes, tambm o meu reconhecimento ao MKAUTH e seu mantenedor Pedro Filho e aos demais amigos que
conquistei durante estes anos online, os meus cumprimentos de
elevada estima.

You might also like