Mudanças entre as edições de "Teste"

De BrByte Wiki
 
(129 revisões intermediárias por 2 usuários não estão sendo mostradas)
Linha 1: Linha 1:
'''ATENÇÃO PÁGINA EM DESENVOLVIMENTO!'''
 
  
 +
=Acesso Externo WEB=
  
Nesse tópico iremos abordar a Interceptação de tráfego em modo tproxy com uso de interfaces VLAN junto ao Mikrotik.
+
==IP > Firewall > Nat==
  
Tendo em vista que já possui o Speedr instalado, continue a ler o tópico, caso esteja tendo dificuldade na instalação do servidor Speedr,
+
'''Para adicionar clique no botão:''' ([[Arquivo:MikrotikBotaoAdd.png|link=]])
siga o manual no link: http://speedr.brbyte.com/about/install
 
  
A configuração do modo tproxy ao Mikrotik requer alguns conhecimentos básicos no RouterOS,
+
*'''Aba General >'''
caso tenha alguma dificuldade, recomendamos que algum técnico faça essa instalação e configuração.
+
**'''Chain: '''dstnat
 +
**'''Protocol: '''tcp
 +
**'''Dst. Port: '''8080
 +
**'''In. Interface: '''ether1 (Interface de Entrada de LINK)
  
 +
<div class="img-responsive align-center">[[Arquivo:MikrotikIpFirewallNatAccExt1.png|link=]]</div>
  
=Configuração no Mikrotik=
 
  
Primeiramente acesse o Mikrotik pelo Winbox ou Interface Web.
+
*'''Aba Action>'''
 +
**'''Action: '''dst-nat
 +
**'''To Address: '''10.10.150.2 (IP do Speedr)
 +
**'''To Ports: '''8080
  
==Interfaces > VLAN==
+
<div class="img-responsive align-center">[[Arquivo:MikrotikIpFirewallNatAccExt2.PNG|link=]]</div>
  
Aqui vamos criar as duas interfaces vlan que serão necessárias para comunicação com o Speedr.
 
  
'''Para adicionar clique no botão: '''([[Arquivo:MikrotikBotaoAdd.png|link=]])
+
'''Regras'''
 +
/ip firewall nat
 +
add action=dst-nat chain=dstnat comment="SPEEDR - EXTERNO WEB" dst-port=8080 in-interface=\
 +
    ether1 protocol=tcp to-addresses=10.10.150.2 to-ports=8080
  
*'''Name: '''Speedr-WAN
+
=Acesso Externo SSH=
*'''VLAN ID: '''1
 
*'''Interface: '''ether3_cache (Selecione a interface que está conectada ao seu Servidor Speedr).
 
  
 +
==IP > Firewall > Nat==
  
'''Clique novamente no botão '''([[Arquivo:MikrotikBotaoAdd.png|link=]]), para adicionar a segunda '''VLAN'''
+
'''Para adicionar clique no botão:''' ([[Arquivo:MikrotikBotaoAdd.png|link=]])
  
*'''Name: '''Speedr-LAN
+
*'''Aba General >'''
*'''VLAN ID: '''2
+
**'''Chain: '''dstnat
*'''Interface: '''ether3_cache  (Selecione a interface que está conectada ao seu Servidor Speedr).
+
**'''Protocol: '''tcp
 +
**'''Dst. Port: '''2229
 +
**'''In. Interface: '''ether1 (Interface de Entrada de LINK)
  
<div class="img-responsive align-center">[[Arquivo:MikrotikInterfacesVlanAdd.png|link=]]</div>
+
<div class="img-responsive align-center">[[Arquivo:MikrotikIpFirewallNatAccExt3.png|link=]]</div>
  
* Ao término das configurações clique em '''OK'''.
 
  
 +
*'''Aba Action>'''
 +
**'''Action: '''dst-nat
 +
**'''To Address: '''10.10.150.2 (IP do Speedr)
 +
**'''To Ports: '''2229
  
==IP > Address==
+
<div class="img-responsive align-center">[[Arquivo:MikrotikIpFirewallNatAccExt4.png|link=]]</div>
  
Aqui vamos configurar o Endereço IP das duas interfaces VLAN que vão se comunicar com Servidor Speedr.
 
  
'''Para adicionar clique no botão: '''([[Arquivo:MikrotikBotaoAdd.png|link=]])
+
'''Regras'''
 +
/ip firewall nat
 +
add action=dst-nat chain=dstnat comment="SPEEDR - EXTERNO SSH" dst-port=2229 in-interface=\
 +
    ether1 protocol=tcp to-addresses=10.10.150.2 to-ports=2229
  
* '''Address:''' 10.10.10.1/30
 
* '''Network:''' Será preenchida automaticamente, não é necessário nenhuma interação.
 
* '''Interface:''' Speedr-WAN
 
 
 
'''Clique novamente no botão '''([[Arquivo:MikrotikBotaoAdd.png|link=]]), pois é necessário adicionar o IP das duas '''VLAN'''.
 
 
* '''Address:''' 10.10.10.5/30
 
* '''Network:''' Será preenchida automaticamente, não é necessário nenhuma interação.
 
* '''Interface:''' Speedr-LAN
 
 
<div class="img-responsive align-center">[[Arquivo:MikrotikIpAddressAdd.png|link=]]</div>
 
 
* Ao término das configurações clique em '''OK'''.
 
 
 
==IP > Firewall > NAT==
 
 
Precisamos da uma atenção especial ao NAT, pois se o mesmo estiver configurado de forma incorreta, o sistema não vai funcionar.
 
 
'''Para adicionar clique no botão: '''([[Arquivo:MikrotikBotaoAdd.png|link=]])
 
 
* '''Aba General > '''
 
** '''Chain:''' srcnat
 
** '''Out. Interface:''' Ether1 (Devemos selecionar a interface de entrada do LINK)
 
 
<div class="img-responsive align-center">[[Arquivo:MikrotikIpFirewallNatGeneral.png|link=]]</div>
 
 
* '''Aba Action > '''
 
** Action: masquerade (O mikrotik vai mascarar todas as conexões que estão saindo do LINK)
 
 
<div class="img-responsive align-center">[[Arquivo:MikrotikIpFirewallNatAction.png|link=]]</div>
 
 
* Ao término das configurações clique em '''OK'''.
 
 
'''Todas as demais regras do NAT com algum Mascaramento deverão ser desabilitadas.'''
 
 
 
==IP > Firewall > Mangle==
 
 
As regras do Mangle serão responsáveis por redirecionar o tráfego para o Speedr, portanto muita atenção com essas regras.
 
 
'''Para adicionar clique no botão: '''([[Arquivo:MikrotikBotaoAdd.png|link=]])
 
 
* '''Aba General >'''
 
** '''Chain:''' prerouting
 
** '''Src. Address:''' ! 10.10.10.2
 
** '''Protocol:''' 6 (tcp)
 
** '''Dst. Port:''' 80,443,1024-65500
 
** '''In. Interface:''' ! Speedr-WAN (Deve negar a interface WAN do Speedr para evitar um '''Loop''' na rede)
 
'''Atenção:''' Só é necessário adicionar a porta '''443 em Dst. Port''', caso já tenha instalado o certificado nos dispositivos que vão usar o cache HTTPS, '''pois sem o certificado não é possível cachear a porta 443'''.
 
Se não deseja interceptar o '''BITTORRENT''' em '''Dst. Port''' remova '''1024-65500''' e adicione '''5060,8080,8777'''
 
 
<div class="img-responsive align-center">[[Arquivo:MikrotikIpFirewallMangleGeneral-Tproxy.png|link=]]</div>
 
 
* '''Aba Advanced >'''
 
** '''Src. Address List:''' CLIENTES_DO_SPEEDR
 
** '''Dst. Address List:''' DESTINO_FORA_DO_SPEEDR
 
 
<div class="img-responsive align-center">[[Arquivo:MikrotikIpFirewallMangleAdvanced.png|link=]]</div>
 
 
* '''Aba Action > '''
 
** '''Action:''' mark routing
 
** '''New Routing Mark:''' rota-speedr-tproxy
 
** '''Passthrough:''' no (desativado)
 
 
<div class="img-responsive align-center">[[Arquivo:MikrotikIpFirewallMangleAction-TProxy.png|link=]]</div>
 
 
 
'''Clique novamente no botão '''([[Arquivo:MikrotikBotaoAdd.png|link=]]), pois é necessário utilizar duas regras.
 
 
* '''Aba General >'''
 
** '''Chain:''' prerouting
 
** '''Protocol:''' 6 (tcp)
 
** '''Src. Port:''' 80,443,1024-65500
 
** '''In. Interface:''' ether1_net (selecione a sua interface de entrada de LINK)
 
'''Atenção:''' Só é necessário adicionar a porta '''443 em Src. Port''', caso já tenha instalado o certificado nos dispositivos que vão usar o cache HTTPS, '''pois sem o certificado não é possível cachear a porta 443'''.
 
Se não deseja interceptar o '''BITTORRENT''' em '''Src. Port''' remova '''1024-65500''' e adicione '''5060,8080,8777'''
 
 
<div class="img-responsive align-center">[[Arquivo:MikrotikIpFirewallMangleGeneral-Tproxy2.png|link=]]</div>
 
 
* '''Aba Advanced >'''
 
** '''Src. Address List:''' ! DESTINO_FORA_DO_SPEEDR
 
 
<div class="img-responsive align-center">[[Arquivo:MikrotikIpFirewallMangleAdvanced-Tproxy2.png|link=]]</div>
 
 
* '''Aba Action > '''
 
** '''Action:''' mark routing
 
** '''New Routing Mark:''' retorno-speedr-tproxy
 
** '''Passthrough:''' no (desativado)
 
 
<div class="img-responsive align-center">[[Arquivo:MikrotikIpFirewallMangleAction-Tproxy2.png|link=]]</div>
 
 
 
* Ao término das configurações clique em '''OK'''.
 
 
'''Certifique-se que as regras do mangle, não fiquem abaixo de nenhuma outra regra, pois se houver outros redirecionamentos, poderá ocorrer falhas.'''
 
 
 
==IP > Firewall > Address List==
 
 
Aqui será configurado a lista de endereços que serão redirecionados e também os destinos que não serão cacheados.
 
 
'''Para adicionar clique no botão: '''([[Arquivo:MikrotikBotaoAdd.png|link=]])
 
 
* '''Primeira Regra:'''
 
** '''Name:''' CLIENTES_DO_SPEEDR
 
** '''Address:''' 192.168.0.0/24 (Range de IP dos clientes que serão redirecionados para o Speedr).
 
 
* '''Segunda Regra:'''
 
** '''Name:''' DESTINO_FORA_DO_SPEEDR
 
** '''Address:''' 192.168.0.0/24 (Destinos que não serão cacheados pelo Speedr).
 
 
<div class="img-responsive align-center">[[Arquivo:MikrotikIpFirewallAddressList.png|link=]]</div>
 
 
* Ao término das configurações clique em '''OK'''.
 
 
 
'''Atenção:''' Podemos observar que nas duas listas utilizamos a mesma '''RANGE''', pois a '''primeira regra''' vai pegar o '''SRC (ORIGEM)''' e enviar para o Speedr já a '''segunda regra''' vai pegar o '''DST (DESTINO)''' e passar por fora do Speedr.
 
É importante adicionar a mesma faixa para que o destino aos clientes não seja cacheado, evitando assim problemas de acesso aos equipamentos como CPE, Roteadores entre outros.
 
 
 
==IP > Route==
 
 
Aqui vamos configurar as Rotas que serão responsáveis pelo envio do tráfego para o Speedr.
 
 
'''Para adicionar clique no botão: '''([[Arquivo:MikrotikBotaoAdd.png|link=]])
 
 
* '''Aba Gereral >'''
 
* '''Dst. Address:''' 0.0.0.0/0
 
* '''Gateway:''' 10.10.10.2
 
* '''Check Gateway:''' ping (Se houver falha ou reinicialização do Servidor do Speedr, a rota é desativada e evita que o tráfego seja interrompido).
 
* '''Routing Mark:''' retorno-speedr-tproxy
 
 
<div class="img-responsive align-center">[[Arquivo:MikrotikIpRoute-TProxy.png|link=]]</div>
 
 
 
'''Clique novamente no botão '''([[Arquivo:MikrotikBotaoAdd.png|link=]]), pois vamos utilizar duas regras.
 
 
* '''Aba Gereral >'''
 
* '''Dst. Address:''' 0.0.0.0/0
 
* '''Gateway:''' 10.10.10.6
 
* '''Check Gateway:''' ping (Se houver falha ou reinicialização do Servidor do Speedr, a rota é desativada e evita que o tráfego seja interrompido).
 
* '''Routing Mark:''' rota-speedr-tproxy
 
 
<div class="img-responsive align-center">[[Arquivo:MikrotikIpRoute-TProxy2.png|link=]]</div>
 
 
* Ao término das configurações clique em '''OK'''.
 
 
 
=Configurações no Speedr=
 
 
Se a configuração do '''IP > Address''' estiver correta no Mikrotik já vai ser possível acessar o painel do Speedr em
 
http://ip_do_seu_servidor_speedr:8080
 
 
<blockquote>
 
'''Usuário:''' admin
 
 
'''Senha:''' admin
 
</blockquote>
 
 
'''Atenção é importante alterar a senha após término das configurações, para evitar acesso indevido ao seu servidor.'''
 
 
No primeiro acesso ao seu servidor é necessário ativar a licença do Speedr, manual disponível nesse link: http://speedr.brbyte.com/about/activation
 
 
É importante verificar o '''Filtro de L7''', para se certificar que os IPs interceptados estão liberados, mais detalhes no link: http://wiki.brbyte.com/wiki/Speedr/Aplicativos/L7_Filtros
 
 
Devemos também configurar o '''Armazenamento Local''', mais detalhes no link: http://wiki.brbyte.com/wiki/Speedr/Aplicativos/Armazenamento_Local
 
 
==Configurações de Rede==
 
 
É necessário criar interfaces VLAN no Speedr.
 
 
1. Abra o aplicativo Controle de Rede.
 
 
2. Clique no botão '''VLAN''', o sistema vai criar a '''primeira VLAN''', clique mais uma vez para criar a '''segunda VLAN'''.
 
 
3. Clique na '''vlan0''' e selecione a interface de rede que está '''conectada ao mikrotik''', faça o mesmo procedimento com a '''vlan1'''.
 
 
Agora devemos configurar as VLAN que foram criadas anteriormente
 
 
1. Ainda em Controle de Rede, vá até o submenu IPs e clique em Novo.
 
 
2. Adicione a '''CIDR''' de cada interface '''VLAN'''.
 
*'''Inet:''' vlan0
 
*'''CIDR:''' 10.10.10.2/30 '''(Speedr-WAN)'''
 
 
 
*'''Inet:''' vlan1
 
*'''CIDR:''' 10.10.10.6/30 '''(Speedr-LAN)'''
 
 
3. Vá até o submenu Rotas e clique em Novo.
 
*'''Subrede:''' 192.168.0.0/24
 
*'''Gateway:''' 10.10.10.5
 
 
'''Atenção: ''' a range a ser utilizada em '''subrede''' com '''gateway: 10.10.10.5''' é a range de IP de seus clientes, portanto se existir mais que uma range adicione todas antes de prosseguir.
 
 
4. Ainda no submenu Rotas vamos adicionar a rota padrão.
 
*'''Subrede: '''0.0.0.0/0
 
*'''Gateway:''' 10.10.10.1
 
 
 
Apos adicionar a rota padrão, você perderá acesso ao Speedr, pois foi alterado o endereço IP, para acessar novamente o servidor use o '''IP: 10.10.10.2''', como foi determinado anteriormente na '''vlan0'''.
 
 
 
==Interceptação do Tráfego no Speedr==
 
 
Para que o tráfego seja interceptado pelo Speedr, você deverá criar uma interceptação usando o aplicativo [[Speedr/Aplicativos/L3_Intercept|L3 Intercept]].
 
 
1. Abra o aplicativo ([[Arquivo:Icon48InterceptL3.png|link=]]) e clique em Wizard.
 
 
2. Escolha o método de interceptação '''TProxy'''.
 
 
3. Interface (WAN) selecione '''vlan0''' e Interface (LAN) selecione '''vlan1'''.
 
 
4. Agora selecione a interface, e clique em ([[Arquivo:Speedr-Btn-salvar.png|link=]]).
 
 
'''Após salvar deverá aparecer dois itens na lista do App L3 Interceptação.'''
 
 
'''Ao término de todas as etapas, abra páginas e verifique em [[Speedr/Aplicativos/Objetos Pendentes|Objetos Pendentes]] e [[Speedr/Aplicativos/Conexões Ativas|Conexões Ativas]], que o Speedr, já vai estar trabalhando!'''
 
 
 
[[Category:Speedr Configuração]]
 
[[Category:Mikrotik]]
 
[[Category:Speedr]]
 
 
__NOEDITSECTION__
 
__NOEDITSECTION__
 +
[[Category:Teste]]

Edição atual tal como às 11h50min de 28 de fevereiro de 2023

Acesso Externo WEB

IP > Firewall > Nat

Para adicionar clique no botão: (MikrotikBotaoAdd.png)

  • Aba General >
    • Chain: dstnat
    • Protocol: tcp
    • Dst. Port: 8080
    • In. Interface: ether1 (Interface de Entrada de LINK)
MikrotikIpFirewallNatAccExt1.png


  • Aba Action>
    • Action: dst-nat
    • To Address: 10.10.150.2 (IP do Speedr)
    • To Ports: 8080
MikrotikIpFirewallNatAccExt2.PNG


Regras
/ip firewall nat
add action=dst-nat chain=dstnat comment="SPEEDR - EXTERNO WEB" dst-port=8080 in-interface=\
    ether1 protocol=tcp to-addresses=10.10.150.2 to-ports=8080

Acesso Externo SSH

IP > Firewall > Nat

Para adicionar clique no botão: (MikrotikBotaoAdd.png)

  • Aba General >
    • Chain: dstnat
    • Protocol: tcp
    • Dst. Port: 2229
    • In. Interface: ether1 (Interface de Entrada de LINK)
MikrotikIpFirewallNatAccExt3.png


  • Aba Action>
    • Action: dst-nat
    • To Address: 10.10.150.2 (IP do Speedr)
    • To Ports: 2229
MikrotikIpFirewallNatAccExt4.png


Regras
/ip firewall nat
add action=dst-nat chain=dstnat comment="SPEEDR - EXTERNO SSH" dst-port=2229 in-interface=\
    ether1 protocol=tcp to-addresses=10.10.150.2 to-ports=2229