Segue abaixo, arquivo de configuração, já comentado, de como configurar um Mikrotik para fazer conexão PPPoE e roteá-la para uma rede interna.

Esta é uma configuração básica, porém já prevendo algumas regras de segurança que são essenciais para manter a segurança básica do equipamento conectado à Internet.

 

#-- define o DNS manualmente
#-- caso queira utilizar os DNS do provedor, remover esta linha
/ip dns set servers=8.8.8.8,1.1.1.1

#-- desabilita o IP socks (utilizado para ataques no Mikrotik)
/ip socks set enable=no

#-- desabilita o servidor DNS no Mikrotik (também utilizado para ataques no Mikrotik)
/ip dns set allow-remote=no

#-- caso necessário, criar uma lista de endereços válidos que será
#-- utilizada para liberar os endereços IPs que poderão acessar o Mikrotik
#-- evitando assim, tentativas de acessos remotos não autorizadas
/ip firewall address-list
add address=177.222.240.0/27 comment=LSOFT list=Acesso_Liberado_Firewall
add address=177.222.245.250 comment=LSOFT list=Acesso_Liberado_Firewall
add address=192.168.0.0/16 comment=LOCAL list=Acesso_Liberado_Firewall
add address=10.0.0.0/8 comment=LOCAL list=Acesso_Liberado_Firewall

#-- regra 'toc-toc' para adicionar temporariamente um novo endereço
#-- na lista de endereços autorizados para acessar o Mikrotik
#-- se tentar acesso ao Mikrotik utilizando esta porta 'toc-toc'
#-- o endereço IP será adicionado na address-list por 1 dia, 
#-- tendo o acesso liberado neste periodo
/ip firewall filter
   add action=add-src-to-address-list address-list=Acesso_Liberado_Firewall address-list-timeout=1d \
   chain=input comment="Regra toc-toc" dst-port=8888 protocol=tcp

#-- bloqueio das portas padrões para acesso não autorizado ao Mikrotik
/ip firewall filter
   add action=drop chain=input comment="Protecao acesso externo" dst-port=23 protocol=tcp \
   src-address-list=!Acesso_Liberado_Firewall
   add action=drop chain=input comment="Protecao acesso externo" dst-port=22 protocol=tcp \
   src-address-list=!Acesso_Liberado_Firewall
   add action=drop chain=input comment="Protecao acesso externo" dst-port=80 protocol=tcp \
   src-address-list=!Acesso_Liberado_Firewall
   add action=drop chain=input comment="Protecao acesso externo" dst-port=161 protocol=udp \
   src-address-list=!Acesso_Liberado_Firewall
   add action=drop chain=input comment="Protecao acesso externo" dst-port=443 protocol=tcp \
   src-address-list=!Acesso_Liberado_Firewall
   add action=drop chain=input comment="Protecao acesso externo" dst-port=2000 protocol=udp \
   src-address-list=!Acesso_Liberado_Firewall
   add action=drop chain=input comment="Protecao acesso externo" dst-port=2000 protocol=tcp \
   src-address-list=!Acesso_Liberado_Firewall
   add action=drop chain=input comment="Protecao acesso externo" dst-port=8291 protocol=tcp \
   src-address-list=!Acesso_Liberado_Firewall
   add action=drop chain=input comment="Protecao acesso externo" dst-port=8728 protocol=tcp \
   src-address-list=!Acesso_Liberado_Firewall
   add action=drop chain=input comment="Protecao acesso externo" dst-port=8729 protocol=tcp \
   src-address-list=!Acesso_Liberado_Firewall
   add action=drop chain=input comment="Protecao acesso externo" connection-state=invalid

#-- desabilita serviços não essenciais (também por segurança)
/ip service
   set ftp disabled=yes
   set www disabled=yes
   set api disabled=yes
   set api-ssl disabled=yes

#-- configura um servidor de hora (NTP - a.ntp.br)
/system ntp client
   set enabled=yes primary-ntp=200.160.0.8

#-- configura o fuso horário
/system clock
   set time-zone-name=America/Sao_Paulo

#-- adiciona a conexão PPPoE
#-- substituir os parâmetros MAX-MRU, MAX-MTU, USER, PASSWORD, SERVICE-NAME conforme orientação do provedor
#-- substituir o parâmetro INTERFACE conforme o nome da interface em que for ligado o modem/roteador de Internet
/interface pppoe-client
   add add-default-route=yes disabled=no name=pppoe-out1 max-mru=1492 max-mtu=1492 use-peer-dns=yes \
   interface=ether1 user=usuario password=senha service-name=popfibra 
    
#-- define um endereço IP para ser o gateway da rede interna
#-- substituir o parâmetro INTERFACE conforme a interface utilizada no Mikrotik para conexão à rede interna
#-- também pode-se substituir o parâmetro ADDRESS pelo endereço IP desejado
/ip address add address=192.168.2.1/24 interface=ether2

#-- regras para criação de um servidor DHCP para a rede interna
#-- 1º criar um pool de endereços IPs que serão fornecidos para a rede interna 
/ip pool add name=dhcp_pool ranges=192.168.2.2-192.168.2.254
#-- 2º criar o servidor DHCP - substituir o parâmetro INTERFACE pela interface conectada na rede interna
/ip dhcp-server add address-pool=dhcp_pool disabled=no interface=ether2 name=dhcp_server
#-- 3º configurar o DHCP server com a faixa de IP, DNS e gateway que serão utilizados na rede interna
/ip dhcp-server network add address=192.168.2.0/24 dns-server=8.8.8.8,1.1.1.1 gateway=192.168.2.1

#-- regra de compartilhamento da conexão na rede interna (NAT)
#-- substituir o SRC-ADDRESS pela faixa de IP utilizada na rede interna
/ip firewall nat
   add action=masquerade chain=srcnat dst-address=0.0.0.0/0 src-address=192.168.2.0/24
    

• < Ant
• Próx >