Dica rápida: Como acessar um roteador invertido na rede, estando em outro barramento.

Muitos de nós que trabalhamos em provedores já passamos pela situação de ter um roteador com a porta LAN ligada no cabo de rede que vem da rua, fazendo com que o servidor de DHCP do roteador responda na rede do provedor, gerando diversos problemas para os outros clientes. Nesses casos, quanto antes a origem do problema for descoberta, melhor. Para isso podemos usar o cliente de DHCP do Mikrotik vinculado à interface de rede onde o roteador invertido se encontra. É necessário desativar a obtenção do gateway (default route), evitando conflito com a rota padrão pré-existente, além de não obter o servidor de DNS nem NTP. Vamos supor que o roteador está ligado na rede da interface ether2, use o seguinte comando:

Continue lendo “Dica rápida: Como acessar um roteador invertido na rede, estando em outro barramento.”

Restringindo o acesso no RouterOS através do WebFig

Todos vocês devem conhecer o WebFig, o sistema web de gerência do RouterOS, similar ao Winbox. O que talvez nem todos saibam é que, com ele é possível restringir o acesso dos usuários à menus e submenus específicos, evitando com isso que eles vejam mais informações do que precisam. É uma forma de aumentar a segurança e de simplificar a interface, deixando-a mais limpa, com apenas o necessário.

O WebFig tem um recurso chamado skin, que é como se fosse um template, onde você pode definir o que cada usuário pode ou não acessar. Esse skin é editado e definido dentro da própria interface do WebFig. Vamos supor que a gente queira dar acesso para uma atendente apenas olhar as interfaces físicas, as conexões PPPoE e Hotspot, visualisar os Neighbors e os Logs, além de poder dar um ping e um traceroute. Vamos ver como configurar a skin para essa finalidade. Continue lendo “Restringindo o acesso no RouterOS através do WebFig”

Túnel EoIP entre o Mikrotik e o Linux

Hoje precisei resetar um rádio Ubiquiti que estava em produção e configurá-lo remotamente, acessando pela internet de casa. O problema é que quando se reseta o mesmo, ele vem sem um gateway padrão, então a princípio só seria possível acessá-lo estando no mesmo barramento físico, ou seja, na mesma rede. O dito rádio está atrás de uma RB. Nesse caso, se eu tivesse outra RB em mãos poderia criar um túnel EoIP, seguindo o raciocínio desse artigo, mas eu não tinha. Pensei em testar o aplicativo do projeto linux-eoip e criar um túnel EoIP entre o RouterOS e o meu Linux.

Baixei o arquivo linux-eoip-0.5.tgz e o descompactei. Compilei com os comandos abaixo: Continue lendo “Túnel EoIP entre o Mikrotik e o Linux”

Dica rápida: Script para adicionar os IPs do Whatsapp em uma lista de endereços

Vamos criar um shell script para gerar uma lista de endereços do Whatsapp que poderá ser usada para bloqueá-lo, por exemplo. Os scripts do RouterOS são limitados. Não se pode tratar variáveis lidas a partir de arquivos maiores do que 4096 bytes. Por conta dessa limitação vamos gerar um arquivo .rsc no Linux. Depois é só enviar esse arquivo para o Mikrotik e importá-lo ou copiar e colar no terminal. Continue lendo “Dica rápida: Script para adicionar os IPs do Whatsapp em uma lista de endereços”

Dica rápida: Use sempre bridge no Mikrotik

AVISO: esse conteúdo está defasado. Não reflete mais a realidade das novas versões do RouterOS, que já têm proteção nativa contra loop, para interfaces e vlans.

Calma, não estou querendo dizer com isso que você deve usar rede em bridge ao invés de rede roteada. Você vai entender.

O Mikrotik RouterOS tem uma característica interessante de informar nos logs a possibilidade de um loop, mas ele só faz isso em interfaces do tipo bridge, então mesmo que você não tenha a necessidade de fazer uma bridge entre duas interfaces, você deve criar uma bridge para cada interface e associar cada uma à sua bridge. Dessa forma além de ser avisado em caso de loop você ainda poderá filtrar pacotes na camada 2 através do firewall para bridge.

Para explicar um pouco melhor vou exemplificar.

Continue lendo “Dica rápida: Use sempre bridge no Mikrotik”

VLAN: Brincando com o Mikrotik e switches gerenciáveis Planet GSD-1020S

Vou mostrar passo a passo como usar o Mikrotik (RouterOS) em conjunto com o switch gerenciável Planet GSD-1020S (o procedimento deve servir para outros modelos) para criar VLANs e setorizar a rede. Vou exemplificar com um RouterOS e 3 switches em cascata. Veja abaixo o diagrama.

Diagrama de interligação dos equipamentos

Continue lendo “VLAN: Brincando com o Mikrotik e switches gerenciáveis Planet GSD-1020S”

Configurando uma VPN de verdade no Mikrotik

Fazer VPN com PPTP e nada é quase a mesma coisa. Vamos configurar uma VPN de responsa, com o OpenVPN.

O método de autenticação escolhido foi através de certificado auto-assinado, além de usuário e senha. Façamos como Jack, em partes.

É possível gerar o certificado diretamente no RouterOS, mas como uso Linux, vou fazê-lo usando o pacote easy-rsa.

Continue lendo “Configurando uma VPN de verdade no Mikrotik”

Dica: Monitorando em modo promíscuo remotamente pelo Mikrotik

Imagine o seguinte cenário: Você administra a rede de uma empresa que tem uma matriz e uma filial e você está na matriz e a rede da filial está com um problema lógico, intermitente e de difícil diagnóstico, que exige uma análise mais profunda, preferencialmente através de um analisador de pacotes como tcpdump ou wireshark. Você pode coletar os pacotes em um arquivo e enviar esse arquivo para posterior análise, ou ainda enviar via stream para o Wireshark (que teria que ser devidamente configurado para receber o stream) mas vamos supor que você queira e precise monitorar diretamente, e talvez com outra ferramenta que nao suporte stream. Como fazer? Continue lendo “Dica: Monitorando em modo promíscuo remotamente pelo Mikrotik”

Colocando senha nos gráficos do Mikrotik RouterOS usando .htaccess

O RouterOS da Mikrotik tem um defeito gravíssimo que é não exigir credenciais para exibir os gráficos gerados por ele. Esses gráficos são configurados em /tools/graphing e ficam disponíveis no endereço SEU_IP/graphs. As informações ali contidas podem ser muito úteis, inclusive para os seus concorrentes. Uma das maneiras de evitar que essas informações fiquem públicas é inabilitar esse recurso e obter  esses dados via SNMP, armazenando remotamente em uma ferramenta como o ZABBIX. Outra maneira é como vou explanar abaixo. Continue lendo “Colocando senha nos gráficos do Mikrotik RouterOS usando .htaccess”

Mikrotik RouterOS: Configurando um servidor PPPoE

Ainda que uma das grandes vantagens de usar o Mikrotik RouterOS seja a interface amigável do Winbox, vou ensinar a configurar um concentrador PPPoE através da CLI (Command Line Interface).

Abra o Winbox e entre no seu equipamento (PC, RB, CCR). Uma vez logado, clique na opção New Terminal, como na figura abaixo.

winbox_new_terminal

A partir daqui faremos tudo através de comandos. Vamos lá!

Continue lendo “Mikrotik RouterOS: Configurando um servidor PPPoE”