Mudanças entre as edições de "Speedr/Manual/Mikrotik/Interceptação Transparente"
(6 revisões intermediárias por 4 usuários não estão sendo mostradas) | |||
Linha 4: | Linha 4: | ||
A configuração do modo paralelo ao Mikrotik requer alguns conhecimentos básicos no RouterOS, caso tenha alguma dificuldade, recomendamos que algum técnico faça essa instalação e configuração. | A configuração do modo paralelo ao Mikrotik requer alguns conhecimentos básicos no RouterOS, caso tenha alguma dificuldade, recomendamos que algum técnico faça essa instalação e configuração. | ||
+ | |||
+ | Vale ressaltar que há diversos casos de clientes que utilizam ips "diferentes" em sua infra. Com blocos de ASN, como se fosse IPs privados. | ||
+ | |||
+ | <span style="color: red">192.200.1.0/24</span> | ||
+ | <span style="color: red">172.40.1.0/24</span> | ||
+ | <span style="color: red">100.100.100.0/24</span> | ||
+ | <span style="color: red">20.20.20.0/24</span> | ||
+ | |||
+ | |||
+ | Para redes internas, recomendamos que leia o RFC 1918, seção 3 (https://tools.ietf.org/html/rfc1918#section-3) | ||
+ | |||
+ | The Internet Assigned Numbers Authority (IANA) has reserved the following three blocks of the IP address space for private internets: | ||
+ | A Internet Assigned Numbers Authority (IANA) reservou estes três blocos para os endereços IP de internet privada: | ||
+ | |||
+ | 10.0.0.0 - 10.255.255.255 (10/8 prefix) | ||
+ | 172.16.0.0 - 172.31.255.255 (172.16/12 prefix) | ||
+ | 192.168.0.0 - 192.168.255.255 (192.168/16 prefix) | ||
+ | |||
Linha 17: | Linha 35: | ||
'''Para adicionar clique no botão: '''([[Arquivo:MikrotikBotaoAdd.png|link=]]) | '''Para adicionar clique no botão: '''([[Arquivo:MikrotikBotaoAdd.png|link=]]) | ||
− | * '''Address:''' 10.10.10.1/30 | + | * '''Address:''' 10.10.10.1/30 ''(gateway e máscara utilizado na instalação do Speedr)'' |
− | '' | + | * '''Network:''' ''Será preenchida automaticamente, não é necessário nenhuma interação.' |
− | * '''Network:''' Será preenchida automaticamente, não é necessário nenhuma interação. | + | * '''Interface:''' Ether5 ''(Interface que está plugada no Servidor do Speedr)'' |
− | * '''Interface:''' Ether5 ( | ||
<div class="img-responsive align-center">[[Arquivo:MikrotikIpAddress.png|link=]]</div> | <div class="img-responsive align-center">[[Arquivo:MikrotikIpAddress.png|link=]]</div> | ||
Linha 57: | Linha 74: | ||
* '''Aba General >''' | * '''Aba General >''' | ||
** '''Chain:''' prerouting | ** '''Chain:''' prerouting | ||
− | ** '''Src Address:''' ! 10.10.10.2 | + | ** '''Src Address:''' ! 10.10.10.2 'endereço IP informado na Instalação do Speedr' |
** '''Protocol:''' 6 (tcp) | ** '''Protocol:''' 6 (tcp) | ||
− | ** '''Dst. Port:''' 80, | + | ** '''Dst. Port:''' 80,8080,5060,5061,9090,9091 |
+ | |||
'''Atenção:''' Só é necessário adicionar a porta '''443 em Dst. Port''', caso já tenha instalado o certificado nos dispositivos que vão usar o cache HTTPS, '''pois sem o certificado não é possível cachear a porta 443'''. | '''Atenção:''' Só é necessário adicionar a porta '''443 em Dst. Port''', caso já tenha instalado o certificado nos dispositivos que vão usar o cache HTTPS, '''pois sem o certificado não é possível cachear a porta 443'''. | ||
− | |||
− | <div class="img-responsive align-center">[[Arquivo: | + | <div class="img-responsive align-center">[[Arquivo: mikrotik_ip_firewall_mangle_general.png |link=]]</div> |
* '''Aba Advanced >''' | * '''Aba Advanced >''' | ||
Linha 113: | Linha 130: | ||
* '''Aba Gereral >''' | * '''Aba Gereral >''' | ||
* '''Dst. Address:''' 0.0.0.0/0 | * '''Dst. Address:''' 0.0.0.0/0 | ||
− | * '''Gateway:''' 10.10.10.2 | + | * '''Gateway:''' 10.10.10.2 (IP do Speedr) |
* '''Check Gateway:''' ping (Se houver falha ou reinicialização do Servidor do Speedr, a rota é desativada e evita que o tráfego seja interrompido). | * '''Check Gateway:''' ping (Se houver falha ou reinicialização do Servidor do Speedr, a rota é desativada e evita que o tráfego seja interrompido). | ||
* '''Routing Mark:''' rota-speedr (Devemos usar o mesmo nome da rota que foi escolhido na configuração do Mangle) | * '''Routing Mark:''' rota-speedr (Devemos usar o mesmo nome da rota que foi escolhido na configuração do Mangle) | ||
Linha 146: | Linha 163: | ||
==Interceptação do Tráfego no Speedr== | ==Interceptação do Tráfego no Speedr== | ||
− | Para que o tráfego seja interceptado pelo Speedr, você deverá criar uma interceptação usando o aplicativo | + | Para que o tráfego seja interceptado pelo Speedr, você deverá criar uma interceptação usando o aplicativo L3 Intercept. |
1. Abra o aplicativo ([[Arquivo:Icon48InterceptL3.png|link=]]) e clique em Wizard. | 1. Abra o aplicativo ([[Arquivo:Icon48InterceptL3.png|link=]]) e clique em Wizard. | ||
Linha 157: | Linha 174: | ||
'''Ao término de todas as etapas, abra páginas e verifique em [[Speedr/Aplicativos/Objetos Pendentes|Objetos Pendentes]] e [[Speedr/Aplicativos/Conexões Ativas|Conexões Ativas]], que o Speedr, já vai estar trabalhando!''' | '''Ao término de todas as etapas, abra páginas e verifique em [[Speedr/Aplicativos/Objetos Pendentes|Objetos Pendentes]] e [[Speedr/Aplicativos/Conexões Ativas|Conexões Ativas]], que o Speedr, já vai estar trabalhando!''' | ||
+ | |||
+ | 4. Caso esteja distribuindo IP públicos ou fora da RFC 1918 deve-se adicionar em [[Speedr/Aplicativos/L7_Filtros#IP.2FCIDR|Filtros L7]] estes ranges de IP. | ||
Edição atual tal como às 18h21min de 30 de março de 2020
Nesse tópico iremos abordar a Interceptação de tráfego em modo paralelo junto ao Mikrotik (Interceptação transparente).
Tendo em vista que já possui o Speedr instalado, continue a ler o tópico, caso esteja tendo dificuldade na instalação do servidor Speedr, siga o manual no link: http://speedr.brbyte.com/about/install
A configuração do modo paralelo ao Mikrotik requer alguns conhecimentos básicos no RouterOS, caso tenha alguma dificuldade, recomendamos que algum técnico faça essa instalação e configuração.
Vale ressaltar que há diversos casos de clientes que utilizam ips "diferentes" em sua infra. Com blocos de ASN, como se fosse IPs privados.
192.200.1.0/24 172.40.1.0/24 100.100.100.0/24 20.20.20.0/24
Para redes internas, recomendamos que leia o RFC 1918, seção 3 (https://tools.ietf.org/html/rfc1918#section-3)
The Internet Assigned Numbers Authority (IANA) has reserved the following three blocks of the IP address space for private internets: A Internet Assigned Numbers Authority (IANA) reservou estes três blocos para os endereços IP de internet privada:
10.0.0.0 - 10.255.255.255 (10/8 prefix) 172.16.0.0 - 172.31.255.255 (172.16/12 prefix) 192.168.0.0 - 192.168.255.255 (192.168/16 prefix)
Índice
Configuração no Mikrotik
Primeiramente acesse o Mikrotik pelo Winbox ou Interface Web.
IP > Address
Aqui vamos configurar o Endereço IP na interface que o Servidor do Speedr estiver conectado.
Para adicionar clique no botão: ()
- Address: 10.10.10.1/30 (gateway e máscara utilizado na instalação do Speedr)
- Network: Será preenchida automaticamente, não é necessário nenhuma interação.'
- Interface: Ether5 (Interface que está plugada no Servidor do Speedr)
- Ao término das configurações clique em OK.
IP > Firewall > NAT
Precisamos da uma atenção especial ao NAT, pois se o mesmo estiver configurado de forma incorreta, o sistema não vai funcionar.
Para adicionar clique no botão: ()
- Aba General >
- Chain: srcnat
- Out. Interface: Ether1 (Devemos selecionar a interface de entrada do LINK)
- Aba Action >
- Action: masquerade (O mikrotik vai mascarar todas as conexões que estão saindo do LINK)
- Ao término das configurações clique em OK.
Todas as demais regras do NAT com algum Mascaramento deverão ser desabilitadas.
IP > Firewall > Mangle
A regra do Mangle será responsável por redirecionar o tráfego para o Speedr, portanto muita atenção com essa regra.
Para adicionar clique no botão: ()
- Aba General >
- Chain: prerouting
- Src Address: ! 10.10.10.2 'endereço IP informado na Instalação do Speedr'
- Protocol: 6 (tcp)
- Dst. Port: 80,8080,5060,5061,9090,9091
Atenção: Só é necessário adicionar a porta 443 em Dst. Port, caso já tenha instalado o certificado nos dispositivos que vão usar o cache HTTPS, pois sem o certificado não é possível cachear a porta 443.
- Aba Advanced >
- Src. Address List: CLIENTES_DO_SPEEDR
- Dst. Address List: DESTINO_FORA_DO_SPEEDR
- Aba Action >
- Action: mark routing
- New Routing Mark: rota-speedr
- Passthrough: no (desativado)
- Ao término das configurações clique em OK.
Certifique-se de que a regra do mangle, não fique abaixo de nenhuma outra regra, determine que ela seja a primeira regra do mangle, pois se houver outros redirecionamentos, poderá ocorrer falhas.
IP > Firewall > Address List
Aqui será configurado a lista de endereços que serão redirecionados e também os destinos que não serão cacheados.
Para adicionar clique no botão: ()
- Primeira Regra:
- Name: CLIENTES_DO_SPEEDR
- Address: 192.168.0.0/24 (Range de IP dos clientes que serão redirecionados para o Speedr).
- Segunda Regra:
- Name: DESTINO_FORA_DO_SPEEDR
- Address: 192.168.0.0/24 (Destinos que não serão cacheados pelo Speedr).
- Ao término das configurações clique em OK.
Atenção: Podemos observar que nas duas listas utilizamos a mesma RANGE, pois a primeira regra vai pegar o SRC (ORIGEM) e enviar para o Speedr já a segunda regra vai pegar o DST (DESTINO) e passar por fora do Speedr.
É importante adicionar a mesma faixa para que o destino aos clientes não seja cacheado, evitando assim problemas de acesso aos equipamentos como CPE, Roteadores entre outros.
IP > Route
Aqui vamos configurar uma Rota que será responsável pelo envio do tráfego para o Speedr.
Para adicionar clique no botão: ()
- Aba Gereral >
- Dst. Address: 0.0.0.0/0
- Gateway: 10.10.10.2 (IP do Speedr)
- Check Gateway: ping (Se houver falha ou reinicialização do Servidor do Speedr, a rota é desativada e evita que o tráfego seja interrompido).
- Routing Mark: rota-speedr (Devemos usar o mesmo nome da rota que foi escolhido na configuração do Mangle)
- Ao término das configurações clique em OK.
Atenção: O Gateway da rota obrigatóriamente tem que ser o Endereço IP do Servidor do Speedr.
Configurações no Speedr
Se a configuração do IP > Address estiver correta no Mikrotik já vai ser possível acessar o painel do Speedr em http://ip_do_seu_servidor_speedr:8080
Usuário: admin
Senha: admin
Atenção é importante alterar a senha após término das configurações, para evitar acesso indevido ao seu servidor.
No primeiro acesso ao seu servidor é necessário ativar a licença do Speedr, manual disponível nesse link: http://speedr.brbyte.com/about/activation
É importante verificar o Filtro de L7, para se certificar que os IPs interceptados estão liberados, mais detalhes no link: http://wiki.brbyte.com/wiki/Speedr/Aplicativos/L7_Filtros
Devemos também configurar o Armazenamento Local, mais detalhes no link: http://wiki.brbyte.com/wiki/Speedr/Aplicativos/Armazenamento_Local
Interceptação do Tráfego no Speedr
Para que o tráfego seja interceptado pelo Speedr, você deverá criar uma interceptação usando o aplicativo L3 Intercept.
1. Abra o aplicativo () e clique em Wizard.
2. Escolha o método de interceptação Transparent.
3. Agora selecione a interface, e clique em ().
Após salvar deverá aparecer um item na lista do App L3 Interceptação.
Ao término de todas as etapas, abra páginas e verifique em Objetos Pendentes e Conexões Ativas, que o Speedr, já vai estar trabalhando!
4. Caso esteja distribuindo IP públicos ou fora da RFC 1918 deve-se adicionar em Filtros L7 estes ranges de IP.