Se você trabalha com infraestrutura de redes, provavelmente já ouviu falar do Mikrotik roteador redes como uma das soluções mais versáteis e de custo-benefício elevado do mercado. No entanto, para quem está começando, a curva de aprendizado do RouterOS pode parecer íngreme. Desde sua fundação na Letônia em 1996, a MikroTik se consolidou como uma alternativa robusta a equipamentos de grandes fabricantes, oferecendo funcionalidades que antes só estavam disponíveis em hardwares de US$ 5.000 ou mais. Hoje, em 14 de junho de 2026, com a explosão de dispositivos IoT, trabalho remoto e edge computing, dominar o ecossistema MikroTik se tornou uma competência estratégica para profissionais de TI.
O problema é que a documentação oficial, embora completa, é fragmentada e frequentemente técnica demais para iniciantes. Tutoriais pulam etapas, vídeos desatualizados ensinam práticas inseguras, e fóruns misturam configurações de versões diferentes do RouterOS (v6 vs v7). É aí que este guia entra. Nosso objetivo é fornecer um mapa mental claro, partindo do zero absoluto até configurações intermediárias, com exemplos práticos e referências que você pode aplicar no seu laboratório doméstico ou em clientes reais.
Este artigo não é apenas uma lista de comandos. Vamos discutir arquitetura de roteamento, segurança por padrão, escolha de hardware, e as armadilhas mais comuns que pegam iniciantes. Na JRT Technology Solutions, implementamos rotineiramente Mikrotik roteador redes em clientes dos setores financeiro, industrial e educacional, e vamos compartilhar insights diretos dessas experiências — incluindo os erros que já vimos e como evitá-los.
Ao final da leitura, você será capaz de acessar seu primeiro MikroTik, configurar interfaces, criar regras de firewall básicas, montar um hotspot captivo e entender logs de tráfego. Além disso, terá uma base sólida para estudar tópicos avançados como BGP, MPLS e failover multi-WAN. Prepare o WinBox e vamos nessa.
Por que escolher um Mikrotik roteador redes para sua infraestrutura?
A decisão de adotar um Mikrotik roteador redes geralmente começa por dois fatores: custo e flexibilidade. Um RB750Gr3 (hEX) custa atualmente entre R$ 400 e R$ 600 no mercado brasileiro, enquanto um roteador Cisco ISR de entrada pode superar R$ 3.000. Mas o valor não está apenas no hardware — o RouterOS (sistema operacional da MikroTik) oferece funcionalidades de nível enterprise como OSPF, BGP, VRRP, VLAN 802.1Q, IPsec e Firewall stateful, tudo incluso na licença da maioria dos modelos (nível 4, 5 ou 6).
Outro diferencial importante é a independência de fornecedor. Diferente de soluções como Ubiquiti UniFi (que dependem de controladora própria) ou Cisco Meraki (licenciamento anual), o MikroTik permite que você gerencie o equipamento localmente via WinBox, SSH, WebFig ou API REST. Isso é crucial em cenários de segurança da informação onde dados de configuração não podem trafegar por servidores cloud. Na JRT Technology Solutions, desenvolvemos soluções com MikroTik exatamente por essa transparência — auditamos cada pacote e cada regra de firewall sem depender de terceiros.
Além disso, a comunidade ativa é um ativo subestimado. O fórum oficial tem mais de 200 mil tópicos, e o MikroTik Wiki é constantemente atualizado. Para iniciantes, existe uma vasta gama de tutoriais (em português e inglês) que cobrem desde “como resetar o equipamento” até “configurar failover com VRRP”.
Por fim, vale destacar a longevidade do hardware. Um MikroTik RB951Ui-2HnD lançado em 2013 ainda recebe atualizações de segurança do RouterOS v7 em 2026. Isso não é exceção — a empresa mantém suporte para modelos com mais de uma década, algo raro em tecnologia. Se você quer investir em aprendizado e infraestrutura sem obsolescência programada, o ecossistema MikroTik é uma aposta segura.
Escolhendo o hardware ideal: modelos de Mikrotik roteador redes para iniciantes
A linha Mikrotik roteador redes é extensa, o que pode paralisar iniciantes. Para não errar, foque em três categorias: entry-level (aprendizado), SOHO (pequeno escritório) e branch (filial). O modelo mais recomendado para começar é o hEX (RB750Gr3). Ele possui 5 portas Gigabit Ethernet, processador IPQ-4018 (dual-core 717 MHz), 256 MB de RAM e suporta RouterOS nível 5 (5000 regras de firewall, 200 túneis PPPoE). Você encontra esse equipamento novo por ~R$ 400 em distribuidoras nacionais em junho de 2026.
Se você precisa de Wi-Fi integrado, o hAP ac² (RB962UiGS-5HacT2HnD) é a escolha natural. Ele combina um roteador Gigabit com rádio wireless dual-band 2.4/5 GHz (802.11ac Wave 2) e inclui USB 3.0 e poe-out. Custa cerca de R$ 700. Para quem quer experimentar Wi-Fi 6, o hAP ax² (RB750Gr3 + wAP ax) é uma combinação modular que já oferece performance para redes densas.
Importante: não caia na tentação de comprar modelos muito antigos (RB750, RB951, RB2011) apenas pelo preço baixo. Eles não executam o RouterOS v7 com bom desempenho — e a v6 está em fim de vida (long-term support encerrado em 2024). Para iniciar com o pé direito, use hardware que suporte v7.16+ (atualização de junho/2026).
- Para laboratório doméstico: RB750Gr3 (hEX) + um switch não gerenciado para segmentação
- Para escritório com 10-20 usuários: RB4011iGS+ (10 portas Gigabit, 1 porta SFP+)
- Para filial ou hotspot público: Audience (1 Gbps, LTE opcional, mesh via capsman)
- Para estudos avançados: CHR (Cloud Hosted Router) — virtualizado no seu PC, gratuito por 24h
Na JRT Technology Solutions, utilizamos majoritariamente a série RB4011 e RB5009 em clientes de médio porte, com failover multi-WAN via modem 4G/5G. Em projetos educacionais, ensinamos com hEX + CHR para que o aluno possa simular topologias complexas sem gastar centenas de reais.
Primeira configuração: como acessar seu Mikrotik roteador redes pela primeira vez
Ao tirar o Mikrotik roteador redes da caixa, você encontrará um dispositivo sem configuração de fábrica (ou com uma configuração default que ativa DHCP em todas as portas e um firewall básico). O primeiro passo é resetar para garantir um estado limpo. Com o equipamento ligado, segure o botão Reset (próximo às portas) por 5 segundos até o LED piscar em vermelho — isso carrega a configuração padrão de fábrica.
Conecte um cabo Ethernet do seu computador a qualquer porta do MikroTik (exceto a porta 1, que geralmente é WAN em configs default). Seu PC receberá IP via DHCP da faixa 192.168.88.0/24 (o roteador fica em 192.168.88.1). Abra o WinBox (baixado do site mikrotik.com — há versão portable, sem instalação). Na janela inicial, o WinBox fará descoberta automática de dispositivos na rede local. Clique no MAC address listado e clique em Connect. Você estará logado com usuário admin e senha em branco.
- Altere imediatamente a senha do admin: vá em System → Password
- Nomeie o dispositivo: System → Identity (ex: “JRT-Roteador-Matriz”)
- Desabilite serviços inseguros: IP → Services — desabilite FTP, Telnet, e mude porta SSH para 2222
- Atualize o RouterOS: System → Check for Updates ou baixe o pacote manualmente
- Faça um backup: Files → Backup → Create
Esses cinco passos parecem simples, mas são negligenciados por 80% dos iniciantes. Já vimos casos de comprometimento de segurança em ambientes comerciais porque o admin deixou o Telnet aberto. Na JRT Technology Solutions, incluímos esses procedimentos em nosso hardening checklist para todos os clientes. Lembre-se: um roteador mal configurado é o elo mais fraco da sua rede.
Firewall e segurança básica no Mikrotik roteador redes
Uma das maiores vantagens do Mikrotik roteador redes é o firewall stateful baseado em chains (input, forward, output). Diferente de roteadores residenciais que usam ACLs simples, o RouterOS permite criar regras com match por IP, porta, protocolo, interface, marcação (Mangle), hora do dia, conteúdo (layer7) e até extremamente granulares. Para iniciantes, o foco deve ser proteger o próprio roteador (input chain) e o tráfego entre LAN e WAN (forward chain).
Uma configuração inicial segura de firewall deve incluir:
- Drop all input por padrão, exceto para conexões estabelecidas/relacionadas e para serviços necessários (SSH, WinBox de IPs confiáveis)
- Proteção contra port scanning: adicione regra em IP → Firewall → Filter Rules que descarta pacotes TCP com flags SYN+PSH (bad flags)
- Rate-limit de conexões ICMP (ping) para evitar flood: use Mangle para classificar pacotes e Queue Tree para limitar a 5 pings/segundo
- Bloqueio de conexões inválidas: no forward chain, crie regra para drop de pacotes com connection-state=invalid
Na prática, um script de firewall básico para iniciantes pode ser colado no terminal (System → Terminal). Exemplo simplificado:
/ip firewall filter add chain=input action=accept connection-state=established,related add chain=input action=accept src-address=192.168.88.0/24 dst-port=8291 protocol=tcp (WinBox local) add chain=input action=drop comment="Drop all other input" add chain=forward action=accept connection-state=established,related add chain=forward action=drop connection-state=invalid add chain=forward action=accept src-address=192.168.88.0/24 add chain=forward action=drop comment="Drop all other forward"
Vale reforçar: nunca expire regras de firewall sem testar em laboratório. Já atendemos clientes que travaram o acesso remoto por uma regra mal escrita. No ambiente da JRT Technology Solutions, sempre mantemos pelo menos um acesso out-of-band (serial ou LTE) para casos de emergência. Firewall não é apenas bloquear — é permitir o necessário de forma controlada.
Configuração de VLANs para segmentação de rede
Segmentar a rede com VLANs é uma prática essencial para segurança da informação e performance. Com um Mikrotik roteador redes, você pode criar VLANs 802.1Q e interligá-las via roteamento, firewall e queues de banda. Por exemplo, em um escritório típico, pode-se criar:
- VLAN 10 – Admin (192.168.10.0/24)
- VLAN 20 – Operacional (192.168.20.0/24)
- VLAN 30 – Convidados (192.168.30.0/24) – com acesso apenas à internet
- VLAN 99 – Gerenciamento (192.168.99.0/24) – para acesso ao MikroTik via bridge isolada
Para configurar, vá em Bridge e adicione uma interface bridge (ex: bridge_LAN). Nas abas Ports, vincule as portas físicas que deseja (portas 2-5). Depois, em Bridge → VLANs, adicione entradas com a VLAN ID e as interfaces bridge. Por fim, em IP → Addresses, atribua os IPs das subnets às interfaces bridge com VLAN tagging.
Um ponto crítico: iniciantes frequentemente esquecem de configurar o VLAN filtering no bridge. Sem isso, o tráfego das VLANs vaza entre si. Verifique se em Bridge → Bridge → General o campo VLAN Filtering está marcado como Use. Na JRT Technology Solutions, padronizamos o uso de bridge com VLAN filtering e IGMP snooping para reduzir tráfego multicast.
Teste a segmentação fazendo um ping entre dispositivos em VLANs diferentes. Se nenhuma regra de firewall for criada, o tráfego intra-VLAN é roteado pelo MikroTik (o próprio roteador faz o roteamento entre subnets). Se quiser isolar completamente, adicione regras de forward chain negando comunicações entre as subnets com src-address e dst-address específicos.
Gerenciamento de banda com Queue Tree e Simple Queues
Gerenciar largura de banda é uma demanda constante em qualquer rede profissional. O RouterOS oferece dois mecanismos principais: Simple Queues (para limitação rápida por IP ou subnet) e Queue Tree (para controle avançado com classificação Mangle). Para um Mikrotik roteador redes em ambiente SOHO, as Simple Queues são suficientes na maioria dos casos.
Crie uma Simple Queue em Queues → Simple Queues → Add. Defina Target como 192.168.88.0/24 (ou um IP específico), e configure Max Limit para upload e download (ex: 10M/5M). O MikroTik aplica o limite global para aquele destino. Para diferenciar upload de download, marque a opção Burst Limit se desejar picos temporários.
Para cenários mais complexos (ex: garantir 70% da banda para VoIP em horário comercial), é preciso usar Mangle para marcar pacotes por protocolo (UDP/5060, RTP dinâmico). Exemplo prático:
- Em IP → Firewall → Mangle, crie duas regras: uma para marcar pacotes VoIP (dst-port 5060-5090) com new-packet-mark=voip
- Em Queues → Queue Tree, crie uma árvore com um Parent = ether1 (WAN) e duas sub-queues: uma para voip com Priority=1 (alta) e outra para demais com Priority=8 (baixa)
- Atribua Packet Marks correspondentes
Na JRT Technology Solutions, já otimizamos enlaces de 50 Mbps para escritórios com 30 usuários usando Queue Tree + PCQ (Per Connection Queue). O PCQ distribui a banda igualmente entre conexões, evitando que um único download sufoque os demais. Para iniciantes, dominar Simple Queues primeiro é o caminho recomendado — depois evolua para PCQ.
Monitoramento e logs: acompanhando seu Mikrotik roteador redes
Não basta configurar um Mikrotik roteador redes e esquecer. Monitoramento contínuo evita surpresas. O RouterOS possui ferramentas nativas como Graphs (tráfego por interface), Torch (análise de tráfego em tempo real), Log (eventos de firewall, DHCP, etc.) e SNMP (para integração com Zabbix, PRTG, LibreNMS).
Ative os logs de firewall em System → Logging → Rules. Adicione regras para firewall e critical com destino memory (buffer de 1000 linhas) e disk (se houver storage). No dia a dia, o WinBox mostra os logs em tempo real na janela Log. Para análise histórica, você pode exportar logs via SSH ou configurar syslog remoto para um servidor central.
Uma dica profissional: configure o Graphing das interfaces e do CPU. Acesse Tools → Graphing → Interface e selecione as interfaces que deseja monitorar. Depois, acesse http://[IP_do_MikroTik]/graphs/ para visualizar gráficos de tráfego dos últimos dias. Para CPU, vá em System → Resources e ative o graphing via script (ou usando a interface web).
Na JRT Technology Solutions, implementamos painéis de monitoramento 24×7 para nossos clientes usando MikroTik + Zabbix com traps SNMP. Um alerta típico: quando a utilização de CPU ultrapassa 80% por mais de 5 minutos, disparamos notificação para a equipe de NOC. Isso já evitou quedas de link em horário comercial.
VPN site-to-site com Mikrotik roteador redes: IPsec vs WireGuard
Conectar filiais de forma segura é um caso de uso clássico. O RouterOS oferece suporte a IPsec IKEv1/v2, PPTP (obsoleto), L2TP, OpenVPN e, desde a v7, WireGuard. Para iniciantes, o WireGuard é o mais simples de configurar e oferece performance excelente (menos overhead criptográfico).
Para configurar uma VPN site-to-site com WireGuard entre dois Mikrotik roteador redes:
- Em ambos os roteadores, vá em WireGuard → Add e crie uma interface com um nome (ex: wg1). Não altere a porta (51820 UDP) e marque Disable Running por enquanto.
- Em WireGuard → Peers, adicione o peer remoto: informe o Public Key do outro roteador, Endpoint Address (IP público da filial) e Allowed Address (as subnets que serão anunciadas, ex: 10.0.2.0/24).
- Atribua um IP privado para a interface WireGuard em ambos os lados (ex: 10.99.99.1/30 e 10.99.99.2/30).
- Habilite a interface e adicione rota estática em cada roteador apontando para a subnet remota via a interface WireGuard.
- Abra a porta UDP 51820 no firewall de ambos (se atrás de NAT, configure port forwarding no firewall externo).
O WireGuard é especialmente indicado para links com alta latência (como 4G/5G) por sua eficiência. Na JRT Technology Solutions, migramos vários clientes de IPsec para WireGuard em 2025, resultando em redução de 40% no overhead e menor latência em links de 50 ms. Para quem precisa de compliance (FIPS 140-2), o IPsec com certificados ainda é o padrão corporativo.
Importante: antes de implantar VPN em produção, teste com o Bandwidth Test ambas as direções para garantir que o throughput atende ao SLA. WireGuard tipicamente atinge 90-95% do link nominal em hardware moderno, enquanto IPsec pode chegar a 80-
Gostou do conteúdo? Fale com nossos especialistas!
A JRT Technology Solutions está pronta para implementar, configurar e dar suporte às tecnologias abordadas neste artigo.