MikroTik RouterOS para ISPs
Guia completo de configuração do MikroTik RouterOS v7 para provedores de internet: firewall, QoS, hotspot, VPNs, PPPoE e troubleshooting em produção.
O MikroTik RouterOS é o sistema operacional de roteamento mais usado por provedores de internet de pequeno e médio porte no Brasil. Segundo estimativas do setor, mais de 70% dos ISPs brasileiros com menos de 10.000 clientes utilizam equipamentos MikroTik como roteadores de borda ou de distribuição.
RouterOS v7 vs v6 — O que mudou
O RouterOS v7, lançado em produção em 2021, trouxe mudanças significativas que afetam diretamente a operação de provedores:
| Recurso | RouterOS v6 | RouterOS v7 |
|---|---|---|
| OSPF | v2 apenas | v2 + v3 (IPv6) |
| BGP | implementação legada | BGP novo (RFC-compliant) |
| IPv6 | suporte parcial | suporte completo |
| Containers | não disponível | disponível (arm64/x86) |
| WireGuard | não disponível | nativo |
| Performance | CPU-bound | melhorias com offloading |
Recomendação: Para novos deployments, use sempre RouterOS v7. Para migração de v6 para v7, planeje com janela de manutenção — a configuração de BGP é incompatível e precisa ser refeita.
Configuração inicial para ISP
1. Hardening básico
Antes de qualquer configuração de serviço, aplique estas proteções mínimas:
# Desabilitar serviços não utilizados
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set api disabled=yes
set api-ssl disabled=yes
# Manter apenas SSH e Winbox com IPs restritos
set ssh address=10.0.0.0/8 disabled=no port=22
set winbox address=10.0.0.0/8 disabled=no port=8291
# Alterar usuário admin padrão
/user set admin name=noc-admin password="SenhaForte@2024"
# Desabilitar neighbor discovery para fora da rede de gerência
/ip neighbor discovery-settings
set discover-interface-list=MGMT2. Interface de gerência separada
Sempre use uma interface ou VLAN dedicada para gerência:
/interface vlan
add interface=ether1 name=vlan999-mgmt vlan-id=999
/ip address
add address=10.99.0.1/30 interface=vlan999-mgmt network=10.99.0.0PPPoE Server para clientes
O PPPoE é o protocolo mais usado por ISPs brasileiros para autenticação de clientes residenciais. A configuração envolve três componentes: RADIUS, PPPoE Server e Pool de IPs.
# Configurar pool de IPs de clientes
/ip pool
add name=pool-clientes ranges=100.64.0.0-100.127.255.255
# Configurar PPPoE Server
/interface pppoe-server server
add authentication=mschap2,chap default-profile=profile-padrao \
disabled=no interface=ether2-uplink-clientes \
max-mtu=1480 max-mru=1480 \
mrru=disabled name=pppoe-servidor1 \
one-session-per-host=yes
# Profile padrão com RADIUS
/ppp profile
add local-address=10.0.0.1 name=profile-padrao \
remote-address=pool-clientes \
use-radius=yes rate-limit=""Integração com RADIUS
/radius
add address=192.168.1.100 secret=segredo-radius \
service=ppp,login timeout=3000Firewall para borda ISP
O firewall de borda de um provedor tem três objetivos distintos: proteger a infraestrutura, controlar o tráfego de clientes e aplicar políticas de qualidade.
Regras essenciais de filter
/ip firewall filter
# Aceitar conexões estabelecidas e relacionadas (performance crítica)
add chain=forward action=accept \
connection-state=established,related \
comment="Accept established/related - PRIMEIRA REGRA"
# Dropar conexões inválidas
add chain=forward action=drop \
connection-state=invalid \
comment="Drop invalid connections"
# Proteger o roteador contra acesso externo
add chain=input action=accept \
in-interface-list=MGMT \
comment="Allow management from trusted nets"
add chain=input action=drop \
in-interface-list=WAN \
comment="Drop all from WAN to router"
# Anti-spoofing (BCP38)
add chain=forward action=drop \
src-address-list=bogons \
in-interface-list=CLIENTES \
comment="BCP38: Drop bogon sources from clients"Address list de bogons (RFC 5735)
/ip firewall address-list
add address=0.0.0.0/8 list=bogons comment="This network"
add address=10.0.0.0/8 list=bogons comment="Private"
add address=100.64.0.0/10 list=bogons comment="Shared (CGNAT)"
add address=127.0.0.0/8 list=bogons comment="Loopback"
add address=169.254.0.0/16 list=bogons comment="Link-local"
add address=172.16.0.0/12 list=bogons comment="Private"
add address=192.168.0.0/16 list=bogons comment="Private"
add address=224.0.0.0/4 list=bogons comment="Multicast"
add address=240.0.0.0/4 list=bogons comment="Reserved"QoS — Controle de Banda por Cliente
O controle de banda em ISPs com MikroTik pode ser feito via Simple Queue (simples, menos eficiente) ou PCQ + Mangle (escalável, recomendado para produção).
PCQ — Per Connection Queuing
O PCQ distribui a banda de forma equitativa entre todos os clientes, mesmo sem filas individuais. É o método mais escalável para provedores com muitos clientes PPPoE.
# Criar filas PCQ
/queue type
add kind=pcq name=pcq-download pcq-classifier=dst-address \
pcq-dst-address-mask=32 pcq-rate=0 pcq-total-limit=2000
add kind=pcq name=pcq-upload pcq-classifier=src-address \
pcq-src-address-mask=32 pcq-rate=0 pcq-total-limit=2000
# Queue tree na interface WAN
/queue tree
add max-limit=1G name=download parent=global \
packet-mark=download-marcado queue=pcq-download
add max-limit=500M name=upload parent=global \
packet-mark=upload-marcado queue=pcq-upload
# Mangle para marcar pacotes
/ip firewall mangle
add action=mark-packet chain=forward \
new-packet-mark=download-marcado \
out-interface-list=CLIENTES passthrough=no
add action=mark-packet chain=forward \
new-packet-mark=upload-marcado \
in-interface-list=CLIENTES passthrough=noHotspot MikroTik
O Hotspot é usado por provedores para redes de acesso via portal cativo (praças, comércios, hotéis). Suporta autenticação via RADIUS com billing integrado.
/ip hotspot
add addresses-per-mac=2 disabled=no interface=bridge-hotspot \
name=hotspot1 profile=hsprof1
/ip hotspot profile
set hsprof1 hotspot-address=192.168.88.1 \
login-by=http-chap,mac \
use-radius=yes radius-accounting=yesTroubleshooting em produção
Diagnóstico rápido de conectividade
# Verificar tabela de roteamento
/ip route print where active=yes
# Monitorar interface em tempo real
/interface monitor-traffic ether1 interval=1
# Verificar sessões PPPoE ativas
/interface pppoe-server print stats
# Verificar log de autenticação RADIUS
/log print where topics~"radius"
# Tool de bandwidth test
/tool bandwidth-test address=8.8.8.8 direction=both duration=10Verificar rotas BGP recebidas
/routing bgp advertisements print peer=uplink-provider1
/routing bgp peer print statsRecursos de estudo
- Documentação oficial MikroTik
- MikroTik Wiki — RouterOS v7 changes
- Certificações: MTCNA (nível 1), MTCRE (routing), MTCINE (Inter-networking)
Precisa de ajuda com MikroTik? → Consultoria gratuita
Redes & Provedores de Internet (ISP)
Guias técnicos para provedores de internet: MikroTik, BGP, FTTH/GPON, Zabbix, CGNAT, IPv6 e segurança de redes. Conteúdo prático para ISPs de pequeno e médio porte.
BGP, OSPF e MPLS para Provedores de Internet
Roteamento avançado para ISPs: configuração de BGP com múltiplos uplinks, peering em IXPs brasileiros (IX.br), OSPF interno e backbones MPLS para provedores de médio porte.