Mudanças entre as edições de "Teste"

De BrByte Wiki
Linha 1: Linha 1:
  
Nesse tópico iremos abordar a Interceptação de tráfego em modo tproxy com uso de duas interfaces de rede junto ao Mikrotik.
+
Através do Controle de Certificados, o usuário poderá gerenciar as CAs (Certification Authorities), usadas para criptografia das conexões dos clientes, e os certificados gerados para cada dominio, ou wildcard (ex: *.google.com).
  
Tendo em vista que já possui o Speedr instalado, continue a ler o tópico, caso esteja tendo dificuldade na instalação do servidor Speedr,
+
<div class="img-responsive align-center">[[Arquivo:|link=]]</div>
siga o manual no link: http://speedr.brbyte.com/about/install
 
  
A configuração do modo tproxy ao Mikrotik requer alguns conhecimentos básicos no RouterOS,
 
caso tenha alguma dificuldade, recomendamos que algum técnico faça essa instalação e configuração.
 
  
  
=Configuração no Mikrotik=
+
==Ação==
 +
[[Arquivo:|link=]] Abre o formulário para criar um novo CA.
  
Primeiramente acesse o Mikrotik pelo Winbox ou Interface Web.
+
[[Arquivo:|link=]] Apaga todos os certificados.
  
==Interfaces==
+
[[Arquivo:|link=]] Download do Certificado selecionado.
  
Aqui vamos apenas renomear as interfaces '''ether3''' e '''ether4''', para facilitar o entendimento de toda configuração necessária para comunicação com o Speedr.
+
[[Arquivo:|link=]] Informações do Certificado selecionado.
  
Clique duas vezes sobre cada interface na aba '''General''', siga as instruções abaixo.
+
[[Arquivo:|link=]] Apagar Certificado selecionado.
  
*Na '''ether3''', em Name altere para Speedr-WAN
+
==Importação no Sistema Operacional Windows==
*Já na '''ether4''', em Name altere para  Speedr-LAN
 
  
<div class="img-responsive align-center">[[Arquivo:MikrotikInterfacesEdit.png|link=]]</div>
+
Quando você importa um certificado raiz no Windows, e não especifica para onde o certificado deve ser importado, o sistema por default vai importar o certificado como sendo de uma autoridade certificadora intermediária e não de uma raiz. Isto é uma proteção colocada no sistema para evitar que o usuário coloque certificados de autoridades raiz de forma não-intencional.
  
* Ao término das configurações clique em '''OK'''.
 
  
<div class="img-responsive align-center">[[Arquivo:MikrotikInterfacesList2.png|link=]]</div>
+
Para fazer a importação para o local correto, durante o wizard de importação é necessário especificar que ele deve ser importado como certificado raiz ao invés de deixar o Windows automaticamente selecionar o tipo de certificado. Para isto siga os passos abaixo:
  
 +
1. Obtenha o certificado através do aplicativo de "Controle de Certificados", clicando na ação de Download  do certificado, no aplicativo de controle de certificados.
  
==IP > Address==
+
<div class="img-responsive align-center">[[Arquivo:|link=]]</div>
  
Aqui vamos configurar o Endereço IP das duas interfaces de rede que vão se comunicar com Servidor Speedr.
+
2. Após abrir o certificado, clique em "Instalar Certificado"
  
'''Para adicionar clique no botão: '''([[Arquivo:MikrotikBotaoAdd.png|link=]])
+
<div class="img-responsive align-center">[[Arquivo:|link=]]</div>
  
* '''Address:''' 10.10.10.1/30
+
3. Clique em "Next/Avançar"
* '''Network:''' Será preenchida automaticamente, não é necessário nenhuma interação.
 
* '''Interface:''' Speedr-WAN
 
  
 +
<div class="img-responsive align-center">[[Arquivo:|link=]]</div>
  
'''Clique novamente no botão '''([[Arquivo:MikrotikBotaoAdd.png|link=]]), pois é necessário adicionar o IP das duas interfaces.
+
4. Aqui o passo importante. Procure e selecione "Trusted Root Certification Authorities / Autoridades de Certificação Raiz Confiáveis" e clique em avançar para a próxima etapa.
  
* '''Address:''' 10.10.10.5/30
+
<div class="img-responsive align-center">[[Arquivo:|link=]]</div>
* '''Network:''' Será preenchida automaticamente, não é necessário nenhuma interação.
 
* '''Interface:''' Speedr-LAN
 
  
<div class="img-responsive align-center">[[Arquivo:MikrotikIpAddressAdd.png|link=]]</div>
+
5. Clique em "Finish/Concluir"
  
* Ao término das configurações clique em '''OK'''.
+
<div class="img-responsive align-center">[[Arquivo:|link=]]</div>
 
 
 
 
==IP > Firewall > NAT==
 
 
 
Precisamos da uma atenção especial ao NAT, pois se o mesmo estiver configurado de forma incorreta, o sistema não vai funcionar.
 
 
 
'''Para adicionar clique no botão: '''([[Arquivo:MikrotikBotaoAdd.png|link=]])
 
 
 
* '''Aba General > '''
 
** '''Chain:''' srcnat
 
** '''Out. Interface:''' Ether1 (Devemos selecionar a interface de entrada do LINK)
 
 
 
<div class="img-responsive align-center">[[Arquivo:MikrotikIpFirewallNatGeneral.png|link=]]</div>
 
 
 
* '''Aba Action > '''
 
** Action: masquerade (O mikrotik vai mascarar todas as conexões que estão saindo do LINK)
 
 
 
<div class="img-responsive align-center">[[Arquivo:MikrotikIpFirewallNatAction.png|link=]]</div>
 
 
 
* Ao término das configurações clique em '''OK'''.
 
 
 
'''Atenção:''' Se possuir '''IP Publico''' os IPs não devem ser nateados, somente os '''IPs privados'''.
 
 
 
'''Observação:''' Devemos considerar que existem inúmeros cenários, cada um com suas particularidades, portanto caso as regras acima não funcionem em seu cenário, analise de acordo com sua topologia, caso não souber consulte o técnico de sua rede.
 
 
 
 
 
==IP > Firewall > Mangle==
 
 
 
As regras do Mangle serão responsáveis por redirecionar o tráfego para o Speedr, portanto muita atenção com essas regras.
 
 
 
'''Para adicionar clique no botão: '''([[Arquivo:MikrotikBotaoAdd.png|link=]])
 
 
 
'''Primeira regra:''' A primeira encaminha o trafego para o Speedr.
 
 
 
 
 
* '''Aba General >'''
 
** '''Chain:''' prerouting
 
** '''Src. Address:''' ! 10.10.10.2 (Deve '''negar''' o IP do Speedr para que não ocorra o risco de redirecionar o trafego originado por ele, para ele mesmo)
 
** '''Protocol:''' 6 (tcp)
 
** '''Dst. Port:''' 80,1024-65500
 
** '''In. Interface:''' ! Speedr-WAN (Deve negar a interface WAN do Speedr para evitar um '''Loop''' na rede)
 
'''Atenção:''' Se não deseja interceptar o '''BITTORRENT''' em '''Dst. Port''' remova '''1024-65500''' e adicione '''5060,8080,8777'''
 
 
 
<div class="img-responsive align-center">[[Arquivo:MikrotikIpFirewallMangleGeneral-Tproxy.png|link=]]</div>
 
 
 
* '''Aba Advanced >'''
 
** '''Src. Address List:''' CLIENTES_DO_SPEEDR (Neste campo será criado a lista na qual serão cadastrados os IPs de quem será redirecionado ao cache)
 
** '''Dst. Address List:''' DESTINO_FORA_DO_SPEEDR (Nessa lista vamos cadastrar todos os IPs e blocos de IP/CIDR que desejar passar fora do Speedr, ou seja, para que não seja cacheado.)
 
 
 
<div class="img-responsive align-center">[[Arquivo:MikrotikIpFirewallMangleAdvanced.png|link=]]</div>
 
 
 
* '''Aba Action > '''
 
** '''Action:''' mark routing
 
** '''New Routing Mark:''' rota-speedr-tproxy
 
** '''Passthrough:''' no (desativado)
 
 
 
<div class="img-responsive align-center">[[Arquivo:MikrotikIpFirewallMangleAction-TProxy.png|link=]]</div>
 
 
 
 
 
'''Clique novamente no botão '''([[Arquivo:MikrotikBotaoAdd.png|link=]]), pois é necessário utilizar duas regras.
 
 
 
'''Segunda regra:''' A segunda encaminha de volta para o Speedr toda a conexão que está retornando pela interface de link, isso porque como foi o Speedr que originou a conexão a mesma não pode ser retornada de volta diretamente para o cliente, pois o cliente não possui o estado da conexão em sua tabela, mas sim somente da conexão que foi originada entre ele e o Speedr. Ai somente então depois que a conexão é retornada para o Speedr o cache encaminha de volta para a origem '''(cliente)'''.
 
 
 
 
 
* '''Aba General >'''
 
** '''Chain:''' prerouting
 
** '''Protocol:''' 6 (tcp)
 
** '''Src. Port:''' 80,1024-65500
 
** '''In. Interface:''' ether1_net (selecione a sua interface de entrada de LINK, se houver várias interfaces de LINK, deverá criar uma regra igual a esta alterando apenas a interface de entrada de LINK)
 
'''Atenção:''' Se não deseja interceptar o '''BITTORRENT''' em '''Src. Port''' remova '''1024-65500''' e adicione '''5060,8080,8777'''
 
 
 
<div class="img-responsive align-center">[[Arquivo:MikrotikIpFirewallMangleGeneral-Tproxy2.png|link=]]</div>
 
 
 
* '''Aba Advanced >'''
 
** '''Src. Address List:''' ! DESTINO_FORA_DO_SPEEDR
 
 
 
'''OBS:''' Em alguns cenários não é necessário seleciona-la. Isso por exemplo quando você tem '''IP privado''' o site/host que está '''navegando''' não sabe quem foi a origem da requisição, sabe que foi o IP da borda que originou '''(em caso de NAT)''', assim não sendo necessário adicionar a List. Em casos de '''IP público''' é recomendável utilizar a opção selecionada, pois o host/site saberá exatamente quem é a origem).
 
 
 
<div class="img-responsive align-center">[[Arquivo:MikrotikIpFirewallMangleAdvanced-Tproxy2.png|link=]]</div>
 
 
 
* '''Aba Action > '''
 
** '''Action:''' mark routing
 
** '''New Routing Mark:''' retorno-speedr-tproxy
 
** '''Passthrough:''' no (desativado)
 
 
 
<div class="img-responsive align-center">[[Arquivo:MikrotikIpFirewallMangleAction-Tproxy2.png|link=]]</div>
 
 
 
 
 
* Ao término das configurações clique em '''OK'''.
 
 
 
'''Certifique-se que as regras do mangle, não fiquem abaixo de nenhuma outra regra, pois se houver outros redirecionamentos, poderá ocorrer falhas.'''
 
 
 
 
 
==IP > Firewall > Address List==
 
 
 
Aqui será configurado a lista de endereços que serão redirecionados e também os destinos que não serão cacheados.
 
 
 
'''Para adicionar clique no botão: '''([[Arquivo:MikrotikBotaoAdd.png|link=]])
 
 
 
* '''Primeira Regra:'''
 
** '''Name:''' CLIENTES_DO_SPEEDR
 
** '''Address:''' 192.168.0.0/24 (Range de IP dos clientes que serão redirecionados para o Speedr).
 
 
 
* '''Segunda Regra:'''
 
** '''Name:''' DESTINO_FORA_DO_SPEEDR
 
** '''Address:''' 192.168.0.0/24 (Destinos que não serão cacheados pelo Speedr).
 
 
 
<div class="img-responsive align-center">[[Arquivo:MikrotikIpFirewallAddressList.png|link=]]</div>
 
 
 
* Ao término das configurações clique em '''OK'''.
 
 
 
 
 
'''Atenção:''' Podemos observar que nas duas listas utilizamos a mesma '''RANGE''', pois a '''primeira regra''' vai pegar o '''SRC (ORIGEM)''' e enviar para o Speedr já a '''segunda regra''' vai pegar o '''DST (DESTINO)''' e passar por fora do Speedr.
 
É importante adicionar a mesma faixa para que o destino aos clientes não seja cacheado, evitando assim problemas de acesso aos equipamentos como CPE, Roteadores entre outros.
 
 
 
 
 
==IP > Route==
 
 
 
Aqui vamos configurar as Rotas que serão responsáveis pelo envio do tráfego para o Speedr.
 
 
 
'''Para adicionar clique no botão: '''([[Arquivo:MikrotikBotaoAdd.png|link=]])
 
 
 
* '''Aba Gereral >'''
 
* '''Dst. Address:''' 0.0.0.0/0
 
* '''Gateway:''' 10.10.10.2
 
* '''Check Gateway:''' ping (Se houver falha ou reinicialização do Servidor do Speedr, a rota é desativada e evita que o tráfego seja interrompido).
 
* '''Routing Mark:''' retorno-speedr-tproxy
 
 
 
<div class="img-responsive align-center">[[Arquivo:MikrotikIpRoute-TProxy.png|link=]]</div>
 
 
 
 
 
'''Clique novamente no botão '''([[Arquivo:MikrotikBotaoAdd.png|link=]]), pois vamos utilizar duas regras.
 
 
 
* '''Aba Gereral >'''
 
* '''Dst. Address:''' 0.0.0.0/0
 
* '''Gateway:''' 10.10.10.6
 
* '''Check Gateway:''' ping (Se houver falha ou reinicialização do Servidor do Speedr, a rota é desativada e evita que o tráfego seja interrompido).
 
* '''Routing Mark:''' rota-speedr-tproxy
 
 
 
<div class="img-responsive align-center">[[Arquivo:MikrotikIpRoute-TProxy2.png|link=]]</div>
 
 
 
* Ao término das configurações clique em '''OK'''.
 
 
 
 
 
=Configurações no Speedr=
 
 
 
Se a configuração do '''IP > Address''' estiver correta no Mikrotik já vai ser possível acessar o painel do Speedr em
 
http://ip_do_seu_servidor_speedr:8080
 
 
 
<blockquote>
 
'''Usuário:''' admin
 
 
 
'''Senha:''' admin
 
</blockquote>
 
 
 
'''Atenção é importante alterar a senha após término das configurações, para evitar acesso indevido ao seu servidor.'''
 
 
 
No primeiro acesso ao seu servidor é necessário ativar a licença do Speedr, manual disponível nesse link: http://speedr.brbyte.com/about/activation
 
 
 
É importante verificar o '''Filtro de L7''', para se certificar que os IPs interceptados estão liberados, mais detalhes no link: http://wiki.brbyte.com/wiki/Speedr/Aplicativos/L7_Filtros
 
 
 
Devemos também configurar o '''Armazenamento Local''', mais detalhes no link: http://wiki.brbyte.com/wiki/Speedr/Aplicativos/Armazenamento_Local
 
 
 
 
 
==Configurações de Rede==
 
 
 
1. Abra o aplicativo Controle de Rede.
 
 
 
2. Clique na interface '''em0''', adicione a descrição '''WAN'''.
 
 
 
3. Clique na interface '''em1''', adicione a descrição '''LAN'''.
 
 
 
<div class="img-responsive align-center">[[Arquivo:SpeedrAppControleRedeInterfacesEdit.png|link=]]</div>
 
 
 
 
 
'''Agora devemos configurar os endereços IP de cada interface.'''
 
 
 
1. Ainda em Controle de Rede, vá até o submenu IPs e clique em Novo.
 
 
 
2. Adicione a '''CIDR''' de cada interface de rede.
 
*'''Inet:''' em0
 
*'''CIDR:''' 10.10.10.2/30 '''(Speedr-WAN)'''
 
 
 
*'''Inet:''' em1
 
*'''CIDR:''' 10.10.10.6/30 '''(Speedr-LAN)'''
 
 
 
<div class="img-responsive align-center">[[Arquivo:SpeedrAppControleRedeIpAdd2.png|link=]]</div>
 
 
 
3. Vá até o submenu Rotas e clique em Novo.
 
*'''Subrede:''' 192.168.0.0/24
 
*'''Gateway:''' 10.10.10.5
 
 
 
'''Atenção: ''' a range a ser utilizada em '''subrede''' com '''gateway: 10.10.10.5''' é a range de IP de seus clientes, portanto se existir mais que uma range adicione todas antes de prosseguir.
 
 
 
4. Ainda no submenu Rotas vamos adicionar a rota padrão.
 
*'''Subrede: '''0.0.0.0/0
 
*'''Gateway:''' 10.10.10.1
 
 
 
<div class="img-responsive align-center">[[Arquivo:SpeedrAppControleRedeRotasAdd.png|link=]]</div>
 
 
 
Apos adicionar a rota padrão, você perderá acesso ao Speedr, pois foi alterado o endereço IP, para acessar novamente o servidor use o '''IP: 10.10.10.2''', como foi determinado anteriormente na interface '''em0'''.
 
 
 
 
 
==Interceptação do Tráfego no Speedr==
 
 
 
Para que o tráfego seja interceptado pelo Speedr, você deverá criar uma interceptação usando o aplicativo [[Speedr/Aplicativos/L3_Intercept|L3 Intercept]].
 
 
 
1. Abra o aplicativo ([[Arquivo:Icon48InterceptL3.png|link=]]) e clique em Wizard.
 
 
 
2. Escolha o método de interceptação '''TProxy'''.
 
 
 
3. Interface (WAN) selecione '''em0''' e Interface (LAN) selecione '''em1'''.
 
 
 
4. Agora selecione a interface, e clique em ([[Arquivo:Speedr-Btn-salvar.png|link=]]).
 
 
 
'''Após salvar deverá aparecer dois itens na lista do App L3 Interceptação.'''
 
 
 
'''Ao término de todas as etapas, abra páginas e verifique em [[Speedr/Aplicativos/Objetos Pendentes|Objetos Pendentes]] e [[Speedr/Aplicativos/Conexões Ativas|Conexões Ativas]], que o Speedr, já vai estar trabalhando!'''
 
 
 
 
 
[[Category:Speedr Configuração]]
 
[[Category:Mikrotik]]
 
[[Category:Speedr]]
 
__NOEDITSECTION__
 

Edição das 13h10min de 2 de junho de 2016

Através do Controle de Certificados, o usuário poderá gerenciar as CAs (Certification Authorities), usadas para criptografia das conexões dos clientes, e os certificados gerados para cada dominio, ou wildcard (ex: *.google.com).

[[Arquivo:|link=]]


Ação

[[Arquivo:|link=]] Abre o formulário para criar um novo CA.

[[Arquivo:|link=]] Apaga todos os certificados.

[[Arquivo:|link=]] Download do Certificado selecionado.

[[Arquivo:|link=]] Informações do Certificado selecionado.

[[Arquivo:|link=]] Apagar Certificado selecionado.

Importação no Sistema Operacional Windows

Quando você importa um certificado raiz no Windows, e não especifica para onde o certificado deve ser importado, o sistema por default vai importar o certificado como sendo de uma autoridade certificadora intermediária e não de uma raiz. Isto é uma proteção colocada no sistema para evitar que o usuário coloque certificados de autoridades raiz de forma não-intencional.


Para fazer a importação para o local correto, durante o wizard de importação é necessário especificar que ele deve ser importado como certificado raiz ao invés de deixar o Windows automaticamente selecionar o tipo de certificado. Para isto siga os passos abaixo:

1. Obtenha o certificado através do aplicativo de "Controle de Certificados", clicando na ação de Download do certificado, no aplicativo de controle de certificados.

[[Arquivo:|link=]]

2. Após abrir o certificado, clique em "Instalar Certificado"

[[Arquivo:|link=]]

3. Clique em "Next/Avançar"

[[Arquivo:|link=]]

4. Aqui o passo importante. Procure e selecione "Trusted Root Certification Authorities / Autoridades de Certificação Raiz Confiáveis" e clique em avançar para a próxima etapa.

[[Arquivo:|link=]]

5. Clique em "Finish/Concluir"

[[Arquivo:|link=]]