Mudanças entre as edições de "Speedr/Manual/Mikrotik/Interceptação Transparente"

De BrByte Wiki
< Speedr‎ | Manual‎ | Mikrotik
 
(6 revisões intermediárias por 4 usuários não estão sendo mostradas)
Linha 4: Linha 4:
  
 
A configuração do modo paralelo ao Mikrotik requer alguns conhecimentos básicos no RouterOS, caso tenha alguma dificuldade, recomendamos que algum técnico faça essa instalação e configuração.
 
A configuração do modo paralelo ao Mikrotik requer alguns conhecimentos básicos no RouterOS, caso tenha alguma dificuldade, recomendamos que algum técnico faça essa instalação e configuração.
 +
 +
Vale ressaltar que há diversos casos de clientes que utilizam ips "diferentes" em sua infra. Com blocos de ASN, como se fosse IPs privados.
 +
 +
    <span style="color: red">192.200.1.0/24</span>
 +
    <span style="color: red">172.40.1.0/24</span>
 +
    <span style="color: red">100.100.100.0/24</span>
 +
    <span style="color: red">20.20.20.0/24</span>
 +
 +
 +
Para redes internas, recomendamos que leia o RFC 1918, seção 3 (https://tools.ietf.org/html/rfc1918#section-3)
 +
 +
    The Internet Assigned Numbers Authority (IANA) has reserved the following three blocks of the IP address space for private internets:
 +
    A Internet Assigned Numbers Authority (IANA) reservou estes três blocos para os endereços IP de internet privada:
 +
 +
    10.0.0.0        -  10.255.255.255  (10/8 prefix)
 +
    172.16.0.0      -  172.31.255.255  (172.16/12 prefix)
 +
    192.168.0.0    -  192.168.255.255 (192.168/16 prefix)
 +
  
  
Linha 17: Linha 35:
 
'''Para adicionar clique no botão: '''([[Arquivo:MikrotikBotaoAdd.png|link=]])
 
'''Para adicionar clique no botão: '''([[Arquivo:MikrotikBotaoAdd.png|link=]])
  
* '''Address:''' 10.10.10.1/30
+
* '''Address:''' 10.10.10.1/30 ''(gateway e máscara utilizado na instalação do Speedr)''
'''Atenção: O Endereço IP que será configurado no Mikrotik deverá ser o Gateway que você usou na Instalação do Speedr.'''
+
* '''Network:''' ''Será preenchida automaticamente, não é necessário nenhuma interação.'
* '''Network:''' Será preenchida automaticamente, não é necessário nenhuma interação.
+
* '''Interface:''' Ether5 ''(Interface que está plugada no Servidor do Speedr)''
* '''Interface:''' Ether5 (Selecione a interface que está plugada no Servidor do Speedr)
 
  
 
<div class="img-responsive align-center">[[Arquivo:MikrotikIpAddress.png|link=]]</div>
 
<div class="img-responsive align-center">[[Arquivo:MikrotikIpAddress.png|link=]]</div>
Linha 57: Linha 74:
 
* '''Aba General >'''
 
* '''Aba General >'''
 
** '''Chain:''' prerouting
 
** '''Chain:''' prerouting
** '''Src Address:''' ! 10.10.10.2
+
** '''Src Address:''' ! 10.10.10.2 'endereço IP informado na Instalação do Speedr'
 
** '''Protocol:''' 6 (tcp)
 
** '''Protocol:''' 6 (tcp)
** '''Dst. Port:''' 80,443,1024-65500
+
** '''Dst. Port:''' 80,8080,5060,5061,9090,9091
 +
 
 
'''Atenção:''' Só é necessário adicionar a porta '''443 em Dst. Port''', caso já tenha instalado o certificado nos dispositivos que vão usar o cache HTTPS, '''pois sem o certificado não é possível cachear a porta 443'''.
 
'''Atenção:''' Só é necessário adicionar a porta '''443 em Dst. Port''', caso já tenha instalado o certificado nos dispositivos que vão usar o cache HTTPS, '''pois sem o certificado não é possível cachear a porta 443'''.
Se não deseja interceptar o '''BITTORRENT''' em '''Dst. Port''' remova '''1024-65500''' e adicione '''5060-8080,8777'''
 
  
<div class="img-responsive align-center">[[Arquivo:MikrotikIpFirewallMangleGeneral.png|link=]]</div>
+
<div class="img-responsive align-center">[[Arquivo: mikrotik_ip_firewall_mangle_general.png |link=]]</div>
  
 
* '''Aba Advanced >'''
 
* '''Aba Advanced >'''
Linha 113: Linha 130:
 
* '''Aba Gereral >'''
 
* '''Aba Gereral >'''
 
* '''Dst. Address:''' 0.0.0.0/0
 
* '''Dst. Address:''' 0.0.0.0/0
* '''Gateway:''' 10.10.10.2  
+
* '''Gateway:''' 10.10.10.2 (IP do Speedr)
 
* '''Check Gateway:''' ping (Se houver falha ou reinicialização do Servidor do Speedr, a rota é desativada e evita que o tráfego seja interrompido).
 
* '''Check Gateway:''' ping (Se houver falha ou reinicialização do Servidor do Speedr, a rota é desativada e evita que o tráfego seja interrompido).
 
* '''Routing Mark:''' rota-speedr (Devemos usar o mesmo nome da rota que foi escolhido na configuração do Mangle)
 
* '''Routing Mark:''' rota-speedr (Devemos usar o mesmo nome da rota que foi escolhido na configuração do Mangle)
Linha 146: Linha 163:
 
==Interceptação do Tráfego no Speedr==
 
==Interceptação do Tráfego no Speedr==
  
Para que o tráfego seja interceptado pelo Speedr, você deverá criar uma interceptação usando o aplicativo [[Speedr/Aplicativos/L3_Intercept|L3 Intercept]].
+
Para que o tráfego seja interceptado pelo Speedr, você deverá criar uma interceptação usando o aplicativo L3 Intercept.
  
 
1. Abra o aplicativo ([[Arquivo:Icon48InterceptL3.png|link=]]) e clique em Wizard.
 
1. Abra o aplicativo ([[Arquivo:Icon48InterceptL3.png|link=]]) e clique em Wizard.
Linha 157: Linha 174:
  
 
'''Ao término de todas as etapas, abra páginas e verifique em [[Speedr/Aplicativos/Objetos Pendentes|Objetos Pendentes]] e [[Speedr/Aplicativos/Conexões Ativas|Conexões Ativas]], que o Speedr, já vai estar trabalhando!'''
 
'''Ao término de todas as etapas, abra páginas e verifique em [[Speedr/Aplicativos/Objetos Pendentes|Objetos Pendentes]] e [[Speedr/Aplicativos/Conexões Ativas|Conexões Ativas]], que o Speedr, já vai estar trabalhando!'''
 +
 +
4. Caso esteja distribuindo IP públicos ou fora da RFC 1918 deve-se adicionar em [[Speedr/Aplicativos/L7_Filtros#IP.2FCIDR|Filtros L7]] estes ranges de IP.
  
  

Edição atual tal como às 18h21min de 30 de março de 2020

Nesse tópico iremos abordar a Interceptação de tráfego em modo paralelo junto ao Mikrotik (Interceptação transparente).

Tendo em vista que já possui o Speedr instalado, continue a ler o tópico, caso esteja tendo dificuldade na instalação do servidor Speedr, siga o manual no link: http://speedr.brbyte.com/about/install

A configuração do modo paralelo ao Mikrotik requer alguns conhecimentos básicos no RouterOS, caso tenha alguma dificuldade, recomendamos que algum técnico faça essa instalação e configuração.

Vale ressaltar que há diversos casos de clientes que utilizam ips "diferentes" em sua infra. Com blocos de ASN, como se fosse IPs privados.

   192.200.1.0/24
   172.40.1.0/24
   100.100.100.0/24
   20.20.20.0/24


Para redes internas, recomendamos que leia o RFC 1918, seção 3 (https://tools.ietf.org/html/rfc1918#section-3)

   The Internet Assigned Numbers Authority (IANA) has reserved the following three blocks of the IP address space for private internets:
   A Internet Assigned Numbers Authority (IANA) reservou estes três blocos para os endereços IP de internet privada: 
   10.0.0.0        -   10.255.255.255  (10/8 prefix)
   172.16.0.0      -   172.31.255.255  (172.16/12 prefix)
   192.168.0.0     -   192.168.255.255 (192.168/16 prefix)


Configuração no Mikrotik

Primeiramente acesse o Mikrotik pelo Winbox ou Interface Web.


IP > Address

Aqui vamos configurar o Endereço IP na interface que o Servidor do Speedr estiver conectado.

Para adicionar clique no botão: (MikrotikBotaoAdd.png)

  • Address: 10.10.10.1/30 (gateway e máscara utilizado na instalação do Speedr)
  • Network: Será preenchida automaticamente, não é necessário nenhuma interação.'
  • Interface: Ether5 (Interface que está plugada no Servidor do Speedr)
MikrotikIpAddress.png
  • Ao término das configurações clique em OK.


IP > Firewall > NAT

Precisamos da uma atenção especial ao NAT, pois se o mesmo estiver configurado de forma incorreta, o sistema não vai funcionar.

Para adicionar clique no botão: (MikrotikBotaoAdd.png)

  • Aba General >
    • Chain: srcnat
    • Out. Interface: Ether1 (Devemos selecionar a interface de entrada do LINK)
MikrotikIpFirewallNatGeneral.png
  • Aba Action >
    • Action: masquerade (O mikrotik vai mascarar todas as conexões que estão saindo do LINK)
MikrotikIpFirewallNatAction.png
  • Ao término das configurações clique em OK.

Todas as demais regras do NAT com algum Mascaramento deverão ser desabilitadas.


IP > Firewall > Mangle

A regra do Mangle será responsável por redirecionar o tráfego para o Speedr, portanto muita atenção com essa regra.

Para adicionar clique no botão: (MikrotikBotaoAdd.png)

  • Aba General >
    • Chain: prerouting
    • Src Address: ! 10.10.10.2 'endereço IP informado na Instalação do Speedr'
    • Protocol: 6 (tcp)
    • Dst. Port: 80,8080,5060,5061,9090,9091

Atenção: Só é necessário adicionar a porta 443 em Dst. Port, caso já tenha instalado o certificado nos dispositivos que vão usar o cache HTTPS, pois sem o certificado não é possível cachear a porta 443.

Mikrotik ip firewall mangle general.png
  • Aba Advanced >
    • Src. Address List: CLIENTES_DO_SPEEDR
    • Dst. Address List: DESTINO_FORA_DO_SPEEDR
MikrotikIpFirewallMangleAdvanced.png
  • Aba Action >
    • Action: mark routing
    • New Routing Mark: rota-speedr
    • Passthrough: no (desativado)
MikrotikIpFirewallMangleAction.png
  • Ao término das configurações clique em OK.


Certifique-se de que a regra do mangle, não fique abaixo de nenhuma outra regra, determine que ela seja a primeira regra do mangle, pois se houver outros redirecionamentos, poderá ocorrer falhas.


IP > Firewall > Address List

Aqui será configurado a lista de endereços que serão redirecionados e também os destinos que não serão cacheados.

Para adicionar clique no botão: (MikrotikBotaoAdd.png)

  • Primeira Regra:
    • Name: CLIENTES_DO_SPEEDR
    • Address: 192.168.0.0/24 (Range de IP dos clientes que serão redirecionados para o Speedr).
  • Segunda Regra:
    • Name: DESTINO_FORA_DO_SPEEDR
    • Address: 192.168.0.0/24 (Destinos que não serão cacheados pelo Speedr).
MikrotikIpFirewallAddressList.png
  • Ao término das configurações clique em OK.


Atenção: Podemos observar que nas duas listas utilizamos a mesma RANGE, pois a primeira regra vai pegar o SRC (ORIGEM) e enviar para o Speedr já a segunda regra vai pegar o DST (DESTINO) e passar por fora do Speedr. É importante adicionar a mesma faixa para que o destino aos clientes não seja cacheado, evitando assim problemas de acesso aos equipamentos como CPE, Roteadores entre outros.


IP > Route

Aqui vamos configurar uma Rota que será responsável pelo envio do tráfego para o Speedr.

Para adicionar clique no botão: (MikrotikBotaoAdd.png)

  • Aba Gereral >
  • Dst. Address: 0.0.0.0/0
  • Gateway: 10.10.10.2 (IP do Speedr)
  • Check Gateway: ping (Se houver falha ou reinicialização do Servidor do Speedr, a rota é desativada e evita que o tráfego seja interrompido).
  • Routing Mark: rota-speedr (Devemos usar o mesmo nome da rota que foi escolhido na configuração do Mangle)
MikrotikIpRoute.png
  • Ao término das configurações clique em OK.


Atenção: O Gateway da rota obrigatóriamente tem que ser o Endereço IP do Servidor do Speedr.


Configurações no Speedr

Se a configuração do IP > Address estiver correta no Mikrotik já vai ser possível acessar o painel do Speedr em http://ip_do_seu_servidor_speedr:8080

Usuário: admin

Senha: admin

Atenção é importante alterar a senha após término das configurações, para evitar acesso indevido ao seu servidor.

No primeiro acesso ao seu servidor é necessário ativar a licença do Speedr, manual disponível nesse link: http://speedr.brbyte.com/about/activation

É importante verificar o Filtro de L7, para se certificar que os IPs interceptados estão liberados, mais detalhes no link: http://wiki.brbyte.com/wiki/Speedr/Aplicativos/L7_Filtros

Devemos também configurar o Armazenamento Local, mais detalhes no link: http://wiki.brbyte.com/wiki/Speedr/Aplicativos/Armazenamento_Local


Interceptação do Tráfego no Speedr

Para que o tráfego seja interceptado pelo Speedr, você deverá criar uma interceptação usando o aplicativo L3 Intercept.

1. Abra o aplicativo (Icon48InterceptL3.png) e clique em Wizard.

2. Escolha o método de interceptação Transparent.

3. Agora selecione a interface, e clique em (Speedr-Btn-salvar.png).

Após salvar deverá aparecer um item na lista do App L3 Interceptação.

Ao término de todas as etapas, abra páginas e verifique em Objetos Pendentes e Conexões Ativas, que o Speedr, já vai estar trabalhando!

4. Caso esteja distribuindo IP públicos ou fora da RFC 1918 deve-se adicionar em Filtros L7 estes ranges de IP.