Como tenho um mini servidor em casa onde tenho todas as minhas coisas, fui obrigado a por mãos á obra e configurar eu mesmo um Mikrotik. Como não consegui encontrar um guia passo-a-passo, decidi partilhar.
As configurações abaixo são, em parte, as configurações de fábrica adaptadas para replicar o funcionamento do router Thomson, incluíndo o serviço IPTV. De notar que o serviço de telefone não irá funcionar. Inclui também outras configurações como NTP, desativação de serviços desnecessários, etc. Para que tudo funcione, o router não deve ter qualquer configuração (mesmo as de fábrica), ou seja, deve fazer um reset sem as configurações de fábrica. Devem também substituir os campos demarcados com < > para se adaptarem á vossa realidade.
code:
/interface bridge
add auto-mac=yes fast-forward=no igmp-snooping=yes name=bridge
/interface wireless
set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce disabled=no distance=indoors frequency=auto mode=ap-bridge ssid=<nome_da_rede> wireless-protocol=802.11
/interface vlan
add interface=ether1 name=internet vlan-id=12
/interface list
add name=WAN
add name=LAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=dynamic-keys supplicant-identity=MikroTik wpa2-pre-shared-key=<password_da_rede>
/ip pool
add name=default-dhcp ranges=192.168.1.1-192.168.1.200
/ip dhcp-server
add address-pool=default-dhcp disabled=no interface=bridge name=defconf
/interface bridge port
add bridge=bridge interface=ether2
add bridge=bridge interface=ether3
add bridge=bridge interface=ether4
add bridge=bridge interface=ether5
add bridge=bridge interface=wlan1
/interface bridge settings
set allow-fast-path=no
/ip neighbor discovery-settings
set discover-interface-list=LAN
/interface list member
add interface=bridge list=LAN
add interface=internet list=WAN
/ip address
add address=192.168.1.254/24 interface=bridge network=192.168.1.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=internet
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=192.168.1.254 domain=home.lan gateway=192.168.1.254
/ip dns
set allow-remote-requests=yes cache-max-ttl=1d servers=1.1.1.1,1.0.0.1
/ip dns static
add address=192.168.1.254 name=home.lan
/ip firewall filter
add action=accept chain=input comment="Accept established,related,untracked" connection-state=established,related,untracked
add action=drop chain=input comment="Drop invalid" connection-state=invalid
add action=accept chain=input comment="Accept ICMP" protocol=icmp
add action=accept chain=input comment="IPTV: accept IGMP" protocol=igmp
add action=drop chain=input comment="Drop all not coming from LAN" in-interface-list=!LAN
add action=accept chain=forward comment="IPTV: accept UDP forward" protocol=udp
add action=accept chain=forward comment="Accept out ipsec policy" ipsec-policy=out,ipsec
add action=accept chain=forward comment="Accept established,related, untracked" connection-state=established,related,untracked
add action=drop chain=forward comment="Drop invalid" connection-state=invalid
add action=drop chain=forward comment="Drop all from WAN not DSTNATed" connection-nat-state=!dstnat connection-state=new in-interface-list=WAN
/ip firewall nat
add action=masquerade chain=srcnat comment="Masquerade" out-interface=internet src-address=192.168.1.0/24
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set sip disabled=yes
set pptp disabled=yes
set udplite disabled=yes
set dccp disabled=yes
set sctp disabled=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/routing igmp-proxy interface
add alternative-subnets=0.0.0.0/0 interface=internet upstream=yes
add alternative-subnets=192.168.1.0/24 interface=bridge
/system clock
set time-zone-name=Europe/Lisbon
/system leds
add interface=internet leds=user-led type=interface-activity
/system ntp client
set enabled=yes server-dns-names=ntp02.oal.ul.pt,ntp04.oal.ul.pt
/system routerboard settings
set silent-boot=no
/tool mac-server
set allowed-interface-list=LAN
/tool mac-server mac-winbox
set allowed-interface-list=LAN
As configurações acima não contemplam as configurações para disponibilizar um serviço para a internet (um servidor Web, por exemplo). Para isso será necessário terem o serviço DynIP configurado na área de cliente. O endereço deste serviço (xxxxxxxx.dynip.sapo.pt) será necessário para configurar o reencaminhamento das portas nas regras NAT. Será também necessário criar uma regra NAT especial (que irá ficar sempre em primeiro na lista) para que as portas reencaminhadas para o servidor interno sejam acessíveis a partir da rede interna a partir do endereço externo (Hairpin NAT).
code:
Volto a referir que a regra "Hairpin NAT" deve ficar sempre em primeiro lugar. Em último lugar deve ficar a regra com o comentário "Masquerade" anteriormente. As restantes regras (reencaminhamentos) devem ficar entre estas duas./ip firewall address-list
add address=<endereco>.dynip.sapo.pt list=internet-ip
/ip firewall nat
add action=masquerade chain=srcnat comment="Hairpin NAT" dst-address=192.168.1.0/24 src-address=192.168.1.0/24
add action=dst-nat chain=dstnat comment="Reencaminha a porta <XX> para o endereço 192.168.1.<**bleep**>" dst-address-list=internet-ip dst-port=<XX> protocol=tcp to-addresses=192.168.1.<**bleep**> to-ports=<XX>
Boa sorte.
