No MikroTik, existem dois modos principais de acesso administrativo:
- IP → Acesso tradicional pela camada 3 (TCP/IP).
- MAC → Acesso direto pela camada 2 (Ethernet), usado em redes locais.
Cada forma de acesso tem características e requisitos específicos. Vamos aos detalhes:
Acesso via IP
Funciona pela LAN, WAN, VPN ou pela Internet diretamente.
Depende de IP configurado corretamente e das portas corretas estarem abertas.
Para liberar acesso IP:
- Habilitar os serviços necessários:
/ip service
set winbox address=0.0.0.0/0
set api address=0.0.0.0/0
set www-ssl address=0.0.0.0/0
- Abrir as portas no firewall:
/ip firewall filter
add chain=input protocol=tcp dst-port=8291 action=accept place-before=0 # Winbox
add chain=input protocol=tcp dst-port=8728 action=accept place-before=0 # API
add chain=input protocol=tcp dst-port=443 action=accept place-before=0 # Webfig SSL
- Garantir permissão na interface WAN:
/ip firewall filter
add chain=input in-interface=wan_interface_name protocol=tcp dst-port=8291 action=accept
Substitua wan_interface_name pelo nome real da interface, como ether1, pppoe-out1, ou similar.
Observação importante:
Abertura de serviços diretamente na WAN é extremamente arriscada sem proteção adequada.
Recomenda-se limitar o acesso via IP (address=) ou utilizar VPN para administração remota.
Acesso via MAC (Layer 2)
Funciona apenas em redes locais ou redes estendidas em camada 2 (bridge, VLAN, EoIP).
Não depende de IP configurado no dispositivo.
O acesso MAC usa protocolos proprietários da MikroTik (pacotes Ethernet tipo 0x88BF).
Para liberar acesso MAC:
- Habilitar o MAC Server:
/tool mac-server
set allowed-interface-list=all
- Liberar descoberta de vizinhos (Neighbor Discovery):
/ip neighbor discovery-settings
set discover-interface-list=all
- Verificar regras de firewall:
Se houver regras de bloqueio geral (drop input), pode ser necessário garantir que protocolos essenciais não sejam bloqueados.
Se precisar, adicione:
/ip firewall filter
add chain=input protocol=udp action=accept place-before=0
Nota técnica:
O acesso por MAC não atravessa a WAN.
Para permitir acesso remoto por MAC seria necessário criar túneis de camada 2, como EoIP ou L2TP em bridge, o que em geral não é recomendado apenas para esse propósito.
Considerações Finais
| Critério | Acesso IP | Acesso MAC |
|---|---|---|
| Camada de rede | Layer 3 (IP) | Layer 2 (Ethernet) |
| Funciona pela WAN | Sim | Não |
| Funciona na LAN | Sim | Sim |
| Depende de IP | Sim | Não |
| Riscos de segurança | Elevados se mal configurado | Restrito à rede física |
Se a intenção for acesso seguro remoto, a recomendação é sempre usar VPN (IPSec, SSTP, L2TP com IPsec) e nunca expor diretamente o serviço Winbox na WAN sem proteção.