Mudanças entre as edições de "Teste"

De BrByte Wiki
 
(123 revisões intermediárias por 2 usuários não estão sendo mostradas)
Linha 1: Linha 1:
  
Nesse tópico iremos abordar a Interceptação de tráfego em modo tproxy com uso de interfaces VLAN junto ao Mikrotik.
+
=Acesso Externo WEB=
  
Tendo em vista que já possui o Speedr instalado, continue a ler o tópico, caso esteja tendo dificuldade na instalação do servidor Speedr,
+
==IP > Firewall > Nat==
siga o manual no link: http://speedr.brbyte.com/about/install
 
  
A configuração do modo tproxy ao Mikrotik requer alguns conhecimentos básicos no RouterOS,
+
'''Para adicionar clique no botão:''' ([[Arquivo:MikrotikBotaoAdd.png|link=]])
caso tenha alguma dificuldade, recomendamos que algum técnico faça essa instalação e configuração.
 
  
 +
*'''Aba General >'''
 +
**'''Chain: '''dstnat
 +
**'''Protocol: '''tcp
 +
**'''Dst. Port: '''8080
 +
**'''In. Interface: '''ether1 (Interface de Entrada de LINK)
  
=Configuração no Mikrotik=
+
<div class="img-responsive align-center">[[Arquivo:MikrotikIpFirewallNatAccExt1.png|link=]]</div>
  
Primeiramente acesse o Mikrotik pelo Winbox ou Interface Web.
 
  
==Interfaces > VLAN==
+
*'''Aba Action>'''
 +
**'''Action: '''dst-nat
 +
**'''To Address: '''10.10.150.2 (IP do Speedr)
 +
**'''To Ports: '''8080
  
Aqui vamos criar as duas interfaces vlan que serão necessárias para comunicação com o Speedr.
+
<div class="img-responsive align-center">[[Arquivo:MikrotikIpFirewallNatAccExt2.PNG|link=]]</div>
  
'''Para adicionar clique no botão: '''([[Arquivo:MikrotikBotaoAdd.png|link=]])
 
  
*'''Name: '''Speedr-WAN
+
'''Regras'''
*'''VLAN ID: '''1
+
/ip firewall nat
*'''Interface: '''ether3_cache (Selecione a interface que está conectada ao seu Servidor Speedr).
+
add action=dst-nat chain=dstnat comment="SPEEDR - EXTERNO WEB" dst-port=8080 in-interface=\
 +
    ether1 protocol=tcp to-addresses=10.10.150.2 to-ports=8080
  
 +
=Acesso Externo SSH=
  
'''Clique novamente no botão '''([[Arquivo:MikrotikBotaoAdd.png|link=]]), para adicionar a segunda '''VLAN'''
+
==IP > Firewall > Nat==
  
*'''Name: '''Speedr-LAN
+
'''Para adicionar clique no botão:''' ([[Arquivo:MikrotikBotaoAdd.png|link=]])
*'''VLAN ID: '''2
 
*'''Interface: '''ether3_cache  (Selecione a interface que está conectada ao seu Servidor Speedr).
 
  
<div class="img-responsive align-center">[[Arquivo:MikrotikInterfacesVlanAdd.png|link=]]</div>
+
*'''Aba General >'''
 +
**'''Chain: '''dstnat
 +
**'''Protocol: '''tcp
 +
**'''Dst. Port: '''2229
 +
**'''In. Interface: '''ether1 (Interface de Entrada de LINK)
  
* Ao término das configurações clique em '''OK'''.
+
<div class="img-responsive align-center">[[Arquivo:MikrotikIpFirewallNatAccExt3.png|link=]]</div>
  
  
==IP > Address==
+
*'''Aba Action>'''
 +
**'''Action: '''dst-nat
 +
**'''To Address: '''10.10.150.2 (IP do Speedr)
 +
**'''To Ports: '''2229
  
Aqui vamos configurar o Endereço IP das duas interfaces VLAN que vão se comunicar com Servidor Speedr.
+
<div class="img-responsive align-center">[[Arquivo:MikrotikIpFirewallNatAccExt4.png|link=]]</div>
  
'''Para adicionar clique no botão: '''([[Arquivo:MikrotikBotaoAdd.png|link=]])
 
  
* '''Address:''' 10.10.10.1/30
+
'''Regras'''
* '''Network:''' Será preenchida automaticamente, não é necessário nenhuma interação.
+
/ip firewall nat
* '''Interface:''' Speedr-WAN
+
add action=dst-nat chain=dstnat comment="SPEEDR - EXTERNO SSH" dst-port=2229 in-interface=\
 +
    ether1 protocol=tcp to-addresses=10.10.150.2 to-ports=2229
  
 
'''Clique novamente no botão '''([[Arquivo:MikrotikBotaoAdd.png|link=]]), pois é necessário adicionar o IP das duas '''VLAN'''.
 
 
* '''Address:''' 10.10.10.5/30
 
* '''Network:''' Será preenchida automaticamente, não é necessário nenhuma interação.
 
* '''Interface:''' Speedr-LAN
 
 
<div class="img-responsive align-center">[[Arquivo:MikrotikIpAddressAdd.png|link=]]</div>
 
 
* Ao término das configurações clique em '''OK'''.
 
 
 
==IP > Firewall > NAT==
 
 
Precisamos da uma atenção especial ao NAT, pois se o mesmo estiver configurado de forma incorreta, o sistema não vai funcionar.
 
 
'''Para adicionar clique no botão: '''([[Arquivo:MikrotikBotaoAdd.png|link=]])
 
 
* '''Aba General > '''
 
** '''Chain:''' srcnat
 
** '''Out. Interface:''' Ether1 (Devemos selecionar a interface de entrada do LINK)
 
 
<div class="img-responsive align-center">[[Arquivo:MikrotikIpFirewallNatGeneral.png|link=]]</div>
 
 
* '''Aba Action > '''
 
** Action: masquerade (O mikrotik vai mascarar todas as conexões que estão saindo do LINK)
 
 
<div class="img-responsive align-center">[[Arquivo:MikrotikIpFirewallNatAction.png|link=]]</div>
 
 
* Ao término das configurações clique em '''OK'''.
 
 
 
'''Observação:''' Devemos considerar que existem inúmeros cenários, cada um com suas particularidades, portanto caso as regras acima não funcionem em seu cenário, analise de acordo com sua topologia, caso não souber consulte o técnico de sua rede.
 
 
 
==IP > Firewall > Mangle==
 
 
As regras do Mangle serão responsáveis por redirecionar o tráfego para o Speedr, portanto muita atenção com essas regras.
 
 
'''Para adicionar clique no botão: '''([[Arquivo:MikrotikBotaoAdd.png|link=]])
 
 
* '''Aba General >'''
 
** '''Chain:''' prerouting
 
** '''Src. Address:''' ! 10.10.10.2
 
** '''Protocol:''' 6 (tcp)
 
** '''Dst. Port:''' 80,443,1024-65500
 
** '''In. Interface:''' ! Speedr-WAN (Deve negar a interface WAN do Speedr para evitar um '''Loop''' na rede)
 
'''Atenção:''' Só é necessário adicionar a porta '''443 em Dst. Port''', caso já tenha instalado o certificado nos dispositivos que vão usar o cache HTTPS, '''pois sem o certificado não é possível cachear a porta 443'''.
 
Se não deseja interceptar o '''BITTORRENT''' em '''Dst. Port''' remova '''1024-65500''' e adicione '''5060,8080,8777'''
 
 
<div class="img-responsive align-center">[[Arquivo:MikrotikIpFirewallMangleGeneral-Tproxy.png|link=]]</div>
 
 
* '''Aba Advanced >'''
 
** '''Src. Address List:''' CLIENTES_DO_SPEEDR
 
** '''Dst. Address List:''' DESTINO_FORA_DO_SPEEDR
 
 
<div class="img-responsive align-center">[[Arquivo:MikrotikIpFirewallMangleAdvanced.png|link=]]</div>
 
 
* '''Aba Action > '''
 
** '''Action:''' mark routing
 
** '''New Routing Mark:''' rota-speedr-tproxy
 
** '''Passthrough:''' no (desativado)
 
 
<div class="img-responsive align-center">[[Arquivo:MikrotikIpFirewallMangleAction-TProxy.png|link=]]</div>
 
 
 
'''Clique novamente no botão '''([[Arquivo:MikrotikBotaoAdd.png|link=]]), pois é necessário utilizar duas regras.
 
 
* '''Aba General >'''
 
** '''Chain:''' prerouting
 
** '''Protocol:''' 6 (tcp)
 
** '''Src. Port:''' 80,443,1024-65500
 
** '''In. Interface:''' ether1_net (selecione a sua interface de entrada de LINK)
 
'''Atenção:''' Só é necessário adicionar a porta '''443 em Src. Port''', caso já tenha instalado o certificado nos dispositivos que vão usar o cache HTTPS, '''pois sem o certificado não é possível cachear a porta 443'''.
 
Se não deseja interceptar o '''BITTORRENT''' em '''Src. Port''' remova '''1024-65500''' e adicione '''5060,8080,8777'''
 
 
<div class="img-responsive align-center">[[Arquivo:MikrotikIpFirewallMangleGeneral-Tproxy2.png|link=]]</div>
 
 
* '''Aba Advanced >'''
 
** '''Src. Address List:''' ! DESTINO_FORA_DO_SPEEDR
 
 
<div class="img-responsive align-center">[[Arquivo:MikrotikIpFirewallMangleAdvanced-Tproxy2.png|link=]]</div>
 
 
* '''Aba Action > '''
 
** '''Action:''' mark routing
 
** '''New Routing Mark:''' retorno-speedr-tproxy
 
** '''Passthrough:''' no (desativado)
 
 
<div class="img-responsive align-center">[[Arquivo:MikrotikIpFirewallMangleAction-Tproxy2.png|link=]]</div>
 
 
 
* Ao término das configurações clique em '''OK'''.
 
 
'''Certifique-se que as regras do mangle, não fiquem abaixo de nenhuma outra regra, pois se houver outros redirecionamentos, poderá ocorrer falhas.'''
 
 
 
==IP > Firewall > Address List==
 
 
Aqui será configurado a lista de endereços que serão redirecionados e também os destinos que não serão cacheados.
 
 
'''Para adicionar clique no botão: '''([[Arquivo:MikrotikBotaoAdd.png|link=]])
 
 
* '''Primeira Regra:'''
 
** '''Name:''' CLIENTES_DO_SPEEDR
 
** '''Address:''' 192.168.0.0/24 (Range de IP dos clientes que serão redirecionados para o Speedr).
 
 
* '''Segunda Regra:'''
 
** '''Name:''' DESTINO_FORA_DO_SPEEDR
 
** '''Address:''' 192.168.0.0/24 (Destinos que não serão cacheados pelo Speedr).
 
 
<div class="img-responsive align-center">[[Arquivo:MikrotikIpFirewallAddressList.png|link=]]</div>
 
 
* Ao término das configurações clique em '''OK'''.
 
 
 
'''Atenção:''' Podemos observar que nas duas listas utilizamos a mesma '''RANGE''', pois a '''primeira regra''' vai pegar o '''SRC (ORIGEM)''' e enviar para o Speedr já a '''segunda regra''' vai pegar o '''DST (DESTINO)''' e passar por fora do Speedr.
 
É importante adicionar a mesma faixa para que o destino aos clientes não seja cacheado, evitando assim problemas de acesso aos equipamentos como CPE, Roteadores entre outros.
 
 
 
==IP > Route==
 
 
Aqui vamos configurar as Rotas que serão responsáveis pelo envio do tráfego para o Speedr.
 
 
'''Para adicionar clique no botão: '''([[Arquivo:MikrotikBotaoAdd.png|link=]])
 
 
* '''Aba Gereral >'''
 
* '''Dst. Address:''' 0.0.0.0/0
 
* '''Gateway:''' 10.10.10.2
 
* '''Check Gateway:''' ping (Se houver falha ou reinicialização do Servidor do Speedr, a rota é desativada e evita que o tráfego seja interrompido).
 
* '''Routing Mark:''' retorno-speedr-tproxy
 
 
<div class="img-responsive align-center">[[Arquivo:MikrotikIpRoute-TProxy.png|link=]]</div>
 
 
 
'''Clique novamente no botão '''([[Arquivo:MikrotikBotaoAdd.png|link=]]), pois vamos utilizar duas regras.
 
 
* '''Aba Gereral >'''
 
* '''Dst. Address:''' 0.0.0.0/0
 
* '''Gateway:''' 10.10.10.6
 
* '''Check Gateway:''' ping (Se houver falha ou reinicialização do Servidor do Speedr, a rota é desativada e evita que o tráfego seja interrompido).
 
* '''Routing Mark:''' rota-speedr-tproxy
 
 
<div class="img-responsive align-center">[[Arquivo:MikrotikIpRoute-TProxy2.png|link=]]</div>
 
 
* Ao término das configurações clique em '''OK'''.
 
 
 
=Configurações no Speedr=
 
 
Se a configuração do '''IP > Address''' estiver correta no Mikrotik já vai ser possível acessar o painel do Speedr em
 
http://ip_do_seu_servidor_speedr:8080
 
 
<blockquote>
 
'''Usuário:''' admin
 
 
'''Senha:''' admin
 
</blockquote>
 
 
'''Atenção é importante alterar a senha após término das configurações, para evitar acesso indevido ao seu servidor.'''
 
 
No primeiro acesso ao seu servidor é necessário ativar a licença do Speedr, manual disponível nesse link: http://speedr.brbyte.com/about/activation
 
 
É importante verificar o '''Filtro de L7''', para se certificar que os IPs interceptados estão liberados, mais detalhes no link: http://wiki.brbyte.com/wiki/Speedr/Aplicativos/L7_Filtros
 
 
Devemos também configurar o '''Armazenamento Local''', mais detalhes no link: http://wiki.brbyte.com/wiki/Speedr/Aplicativos/Armazenamento_Local
 
 
 
==Configurações de Rede==
 
 
1. Abra o aplicativo Controle de Rede.
 
 
2. Clique no botão '''VLAN''', o sistema vai criar a '''vlan0''', clique mais uma vez para criar a '''vlan1'''.
 
 
3. Clique na '''vlan0''' e selecione a interface de rede que está '''conectada ao mikrotik''', faça o mesmo procedimento com a '''vlan1'''.
 
 
<div class="img-responsive align-center">[[Arquivo:SpeedrAppControleRedeInterfacesVlanAdd.PNG|link=]]</div>
 
 
 
'''Agora devemos configurar as VLAN que foram criadas anteriormente.'''
 
 
1. Ainda em Controle de Rede, vá até o submenu IPs e clique em Novo.
 
 
2. Adicione a '''CIDR''' de cada interface '''VLAN'''.
 
*'''Inet:''' vlan0
 
*'''CIDR:''' 10.10.10.2/30 '''(Speedr-WAN)'''
 
 
*'''Inet:''' vlan1
 
*'''CIDR:''' 10.10.10.6/30 '''(Speedr-LAN)'''
 
 
<div class="img-responsive align-center">[[Arquivo:SpeedrAppControleRedeIpAdd.png|link=]]</div>
 
 
3. Vá até o submenu Rotas e clique em Novo.
 
*'''Subrede:''' 192.168.0.0/24
 
*'''Gateway:''' 10.10.10.5
 
 
'''Atenção: ''' a range a ser utilizada em '''subrede''' com '''gateway: 10.10.10.5''' é a range de IP de seus clientes, portanto se existir mais que uma range adicione todas antes de prosseguir.
 
 
4. Ainda no submenu Rotas vamos adicionar a rota padrão.
 
*'''Subrede: '''0.0.0.0/0
 
*'''Gateway:''' 10.10.10.1
 
 
<div class="img-responsive align-center">[[Arquivo:SpeedrAppControleRedeRotasAdd.png|link=]]</div>
 
 
Apos adicionar a rota padrão, você perderá acesso ao Speedr, pois foi alterado o endereço IP, para acessar novamente o servidor use o '''IP: 10.10.10.2''', como foi determinado anteriormente na '''vlan0'''.
 
 
 
==Interceptação do Tráfego no Speedr==
 
 
Para que o tráfego seja interceptado pelo Speedr, você deverá criar uma interceptação usando o aplicativo [[Speedr/Aplicativos/L3_Intercept|L3 Intercept]].
 
 
1. Abra o aplicativo ([[Arquivo:Icon48InterceptL3.png|link=]]) e clique em Wizard.
 
 
2. Escolha o método de interceptação '''TProxy'''.
 
 
3. Interface (WAN) selecione '''vlan0''' e Interface (LAN) selecione '''vlan1'''.
 
 
4. Agora selecione a interface, e clique em ([[Arquivo:Speedr-Btn-salvar.png|link=]]).
 
 
'''Após salvar deverá aparecer dois itens na lista do App L3 Interceptação.'''
 
 
'''Ao término de todas as etapas, abra páginas e verifique em [[Speedr/Aplicativos/Objetos Pendentes|Objetos Pendentes]] e [[Speedr/Aplicativos/Conexões Ativas|Conexões Ativas]], que o Speedr, já vai estar trabalhando!'''
 
 
 
[[Category:Speedr Configuração]]
 
[[Category:Mikrotik]]
 
[[Category:Speedr]]
 
 
__NOEDITSECTION__
 
__NOEDITSECTION__
 +
[[Category:Teste]]

Edição atual tal como às 11h50min de 28 de fevereiro de 2023

Acesso Externo WEB

IP > Firewall > Nat

Para adicionar clique no botão: (MikrotikBotaoAdd.png)

  • Aba General >
    • Chain: dstnat
    • Protocol: tcp
    • Dst. Port: 8080
    • In. Interface: ether1 (Interface de Entrada de LINK)
MikrotikIpFirewallNatAccExt1.png


  • Aba Action>
    • Action: dst-nat
    • To Address: 10.10.150.2 (IP do Speedr)
    • To Ports: 8080
MikrotikIpFirewallNatAccExt2.PNG


Regras
/ip firewall nat
add action=dst-nat chain=dstnat comment="SPEEDR - EXTERNO WEB" dst-port=8080 in-interface=\
    ether1 protocol=tcp to-addresses=10.10.150.2 to-ports=8080

Acesso Externo SSH

IP > Firewall > Nat

Para adicionar clique no botão: (MikrotikBotaoAdd.png)

  • Aba General >
    • Chain: dstnat
    • Protocol: tcp
    • Dst. Port: 2229
    • In. Interface: ether1 (Interface de Entrada de LINK)
MikrotikIpFirewallNatAccExt3.png


  • Aba Action>
    • Action: dst-nat
    • To Address: 10.10.150.2 (IP do Speedr)
    • To Ports: 2229
MikrotikIpFirewallNatAccExt4.png


Regras
/ip firewall nat
add action=dst-nat chain=dstnat comment="SPEEDR - EXTERNO SSH" dst-port=2229 in-interface=\
    ether1 protocol=tcp to-addresses=10.10.150.2 to-ports=2229