Speedr/Manual/Mikrotik/Interceptação TProxy VLAN

De BrByte Wiki
< Speedr‎ | Manual‎ | Mikrotik
Revisão de 18h21min de 30 de março de 2020 por Paulolacerda (discussão | contribs)
(dif) ← Edição anterior | Revisão atual (dif) | Versão posterior → (dif)

Nesse tópico iremos abordar a Interceptação de tráfego em modo tproxy com uso de interfaces VLAN junto ao Mikrotik.

Tendo em vista que já possui o Speedr instalado, continue a ler o tópico, caso esteja tendo dificuldade na instalação do servidor Speedr, siga o manual no link: http://speedr.brbyte.com/about/install

A configuração do modo tproxy ao Mikrotik requer alguns conhecimentos básicos no RouterOS, caso tenha alguma dificuldade, recomendamos que algum técnico faça essa instalação e configuração.


Configuração no Mikrotik

Primeiramente acesse o Mikrotik pelo Winbox ou Interface Web.


Interfaces > VLAN

Aqui vamos criar as duas interfaces vlan que serão necessárias para comunicação com o Speedr.

Para adicionar clique no botão: (MikrotikBotaoAdd.png)

  • Name: Speedr-WAN
  • VLAN ID: 4
  • Interface: ether3_cache (Selecione a interface que está conectada ao seu Servidor Speedr).


Clique novamente no botão (MikrotikBotaoAdd.png), para adicionar a segunda VLAN

  • Name: Speedr-LAN
  • VLAN ID: 5
  • Interface: ether3_cache (Selecione a interface que está conectada ao seu Servidor Speedr).
MikrotikInterfacesVlanAdd.png
  • Ao término das configurações clique em OK.
MikrotikInterfacesList.png


IP > Address

Aqui vamos configurar o Endereço IP das duas interfaces VLAN que vão se comunicar com Servidor Speedr.

Para adicionar clique no botão: (MikrotikBotaoAdd.png)

  • Address: 10.10.10.1/30
  • Network: Será preenchida automaticamente, não é necessário nenhuma interação.
  • Interface: Speedr-WAN


Clique novamente no botão (MikrotikBotaoAdd.png), pois é necessário adicionar o IP das duas VLAN.

  • Address: 10.10.10.5/30
  • Network: Será preenchida automaticamente, não é necessário nenhuma interação.
  • Interface: Speedr-LAN
MikrotikIpAddressAdd.png
  • Ao término das configurações clique em OK.


IP > Firewall > NAT

Precisamos da uma atenção especial ao NAT, pois se o mesmo estiver configurado de forma incorreta, o sistema não vai funcionar.

Para adicionar clique no botão: (MikrotikBotaoAdd.png)

  • Aba General >
    • Chain: srcnat
    • Out. Interface: Ether1 (Devemos selecionar a interface de entrada do LINK)
MikrotikIpFirewallNatGeneral.png
  • Aba Action >
    • Action: masquerade (O mikrotik vai mascarar todas as conexões que estão saindo do LINK)
MikrotikIpFirewallNatAction.png
  • Ao término das configurações clique em OK.

Atenção: Se possuir IP Publico os IPs não devem ser nateados, somente os IPs privados.

Observação: Devemos considerar que existem inúmeros cenários, cada um com suas particularidades, portanto caso as regras acima não funcionem em seu cenário, analise de acordo com sua topologia, caso não souber consulte o técnico de sua rede.


IP > Firewall > Mangle

As regras do Mangle serão responsáveis por redirecionar o tráfego para o Speedr, portanto muita atenção com essas regras.

Para adicionar clique no botão: (MikrotikBotaoAdd.png)

Primeira regra: A primeira encaminha o trafego para o Speedr.


  • Aba General >
    • Chain: prerouting
    • Src. Address: ! 10.10.10.2 (Deve negar o IP do Speedr para que não ocorra o risco de redirecionar o trafego originado por ele, para ele mesmo)
    • Protocol: 6 (tcp)
    • Dst. Port: 80,1024-65500
    • In. Interface: ! Speedr-WAN (Deve negar a interface WAN do Speedr para evitar um Loop na rede)

Atenção: Se não deseja interceptar o BITTORRENT em Dst. Port remova 1024-65500 e adicione 5060,8080,8777

MikrotikIpFirewallMangleGeneral-Tproxy.png
  • Aba Advanced >
    • Src. Address List: CLIENTES_DO_SPEEDR (Neste campo será criado a lista na qual serão cadastrados os IPs de quem será redirecionado ao cache)
    • Dst. Address List: DESTINO_FORA_DO_SPEEDR (Nessa lista vamos cadastrar todos os IPs e blocos de IP/CIDR que desejar passar fora do Speedr, ou seja, para que não seja cacheado.)
MikrotikIpFirewallMangleAdvanced.png
  • Aba Action >
    • Action: mark routing
    • New Routing Mark: rota-speedr-tproxy
    • Passthrough: no (desativado)
MikrotikIpFirewallMangleAction-TProxy.png


Clique novamente no botão (MikrotikBotaoAdd.png), pois é necessário utilizar duas regras.

Segunda regra: A segunda encaminha de volta para o Speedr toda a conexão que está retornando pela interface de link, isso porque como foi o Speedr que originou a conexão a mesma não pode ser retornada de volta diretamente para o cliente, pois o cliente não possui o estado da conexão em sua tabela, mas sim somente da conexão que foi originada entre ele e o Speedr. Ai somente então depois que a conexão é retornada para o Speedr o cache encaminha de volta para a origem (cliente).


  • Aba General >
    • Chain: prerouting
    • Protocol: 6 (tcp)
    • Src. Port: 80,1024-65500
    • In. Interface: ether1_net (selecione a sua interface de entrada de LINK, se houver várias interfaces de LINK, deverá criar uma regra igual a esta alterando apenas a interface de entrada de LINK)

Atenção: Se não deseja interceptar o BITTORRENT em Src. Port remova 1024-65500 e adicione 5060,8080,8777

MikrotikIpFirewallMangleGeneral-Tproxy2.png
  • Aba Advanced >
    • Src. Address List: ! DESTINO_FORA_DO_SPEEDR

OBS: Em alguns cenários não é necessário seleciona-la. Isso por exemplo quando você tem IP privado o site/host que está navegando não sabe quem foi a origem da requisição, sabe que foi o IP da borda que originou (em caso de NAT), assim não sendo necessário adicionar a List. Em casos de IP público é recomendável utilizar a opção selecionada, pois o host/site saberá exatamente quem é a origem).

MikrotikIpFirewallMangleAdvanced-Tproxy2.png
  • Aba Action >
    • Action: mark routing
    • New Routing Mark: retorno-speedr-tproxy
    • Passthrough: no (desativado)
MikrotikIpFirewallMangleAction-Tproxy2.png


  • Ao término das configurações clique em OK.

Certifique-se que as regras do mangle, não fiquem abaixo de nenhuma outra regra, pois se houver outros redirecionamentos, poderá ocorrer falhas.


IP > Firewall > Address List

Aqui será configurado a lista de endereços que serão redirecionados e também os destinos que não serão cacheados.

Para adicionar clique no botão: (MikrotikBotaoAdd.png)

  • Primeira Regra:
    • Name: CLIENTES_DO_SPEEDR
    • Address: 192.168.0.0/24 (Range de IP dos clientes que serão redirecionados para o Speedr).
  • Segunda Regra:
    • Name: DESTINO_FORA_DO_SPEEDR
    • Address: 192.168.0.0/24 (Destinos que não serão cacheados pelo Speedr).
MikrotikIpFirewallAddressList.png
  • Ao término das configurações clique em OK.


Atenção: Podemos observar que nas duas listas utilizamos a mesma RANGE, pois a primeira regra vai pegar o SRC (ORIGEM) e enviar para o Speedr já a segunda regra vai pegar o DST (DESTINO) e passar por fora do Speedr. É importante adicionar a mesma faixa para que o destino aos clientes não seja cacheado, evitando assim problemas de acesso aos equipamentos como CPE, Roteadores entre outros.


IP > Route

Aqui vamos configurar as Rotas que serão responsáveis pelo envio do tráfego para o Speedr.

Para adicionar clique no botão: (MikrotikBotaoAdd.png)

  • Aba Gereral >
  • Dst. Address: 0.0.0.0/0
  • Gateway: 10.10.10.2
  • Check Gateway: ping (Se houver falha ou reinicialização do Servidor do Speedr, a rota é desativada e evita que o tráfego seja interrompido).
  • Routing Mark: retorno-speedr-tproxy
MikrotikIpRoute-TProxy.png


Clique novamente no botão (MikrotikBotaoAdd.png), pois vamos utilizar duas regras.

  • Aba Gereral >
  • Dst. Address: 0.0.0.0/0
  • Gateway: 10.10.10.6
  • Check Gateway: ping (Se houver falha ou reinicialização do Servidor do Speedr, a rota é desativada e evita que o tráfego seja interrompido).
  • Routing Mark: rota-speedr-tproxy
MikrotikIpRoute-TProxy2.png
  • Ao término das configurações clique em OK.


Configurações no Speedr

Se a configuração do IP > Address estiver correta no Mikrotik já vai ser possível acessar o painel do Speedr em http://ip_do_seu_servidor_speedr:8080

Usuário: admin

Senha: admin

Atenção é importante alterar a senha após término das configurações, para evitar acesso indevido ao seu servidor.

No primeiro acesso ao seu servidor é necessário ativar a licença do Speedr, manual disponível nesse link: http://speedr.brbyte.com/about/activation

É importante verificar o Filtro de L7, para se certificar que os IPs interceptados estão liberados, mais detalhes no link: http://wiki.brbyte.com/wiki/Speedr/Aplicativos/L7_Filtros

Devemos também configurar o Armazenamento Local, mais detalhes no link: http://wiki.brbyte.com/wiki/Speedr/Aplicativos/Armazenamento_Local


Configurações de Rede

1. Abra o aplicativo Controle de Rede.

2. Clique no botão VLAN, o sistema vai criar a vlan0, clique mais uma vez para criar a vlan1.

3. Clique na vlan0, adicione a descrição WAN, altere o ID para 4 e selecione a interface de rede que está conectada ao mikrotik.

4. Clique na vlan1, adicione a descrição LAN, altere o ID para 5 e selecione a interface de rede que está conectada ao mikrotik.

SpeedrAppControleRedeInterfacesVlanAdd.PNG


Agora devemos configurar as VLAN que foram criadas anteriormente.

1. Ainda em Controle de Rede, vá até o submenu IPs e clique em Novo.

2. Adicione a CIDR de cada interface VLAN.

  • Inet: vlan0
  • CIDR: 10.10.10.2/30 (Speedr-WAN)
  • Inet: vlan1
  • CIDR: 10.10.10.6/30 (Speedr-LAN)
SpeedrAppControleRedeIpAdd.png

3. Vá até o submenu Rotas e clique em Novo.

  • Subrede: 192.168.0.0/24
  • Gateway: 10.10.10.5

Atenção: a range a ser utilizada em subrede com gateway: 10.10.10.5 é a range de IP de seus clientes, portanto se existir mais que uma range adicione todas antes de prosseguir.

4. Ainda no submenu Rotas vamos adicionar a rota padrão.

  • Subrede: 0.0.0.0/0
  • Gateway: 10.10.10.1
SpeedrAppControleRedeRotasAdd.png

Apos adicionar a rota padrão, você perderá acesso ao Speedr, pois foi alterado o endereço IP, para acessar novamente o servidor use o IP: 10.10.10.2, como foi determinado anteriormente na vlan0.

Atenção: Ao término das configurações de Interface, IP, e Rotas clique sobre o botão Salvar, logo acima dos submenus, pois caso não seja salvo ao reiniciar o server as configurações do App Controle de Rede serão descartadas.


Interceptação do Tráfego no Speedr

Para que o tráfego seja interceptado pelo Speedr, você deverá criar uma interceptação usando o aplicativo L3 Intercept.

1. Abra o aplicativo (Icon48InterceptL3.png) e clique em Wizard.

2. Escolha o método de interceptação TProxy.

3. Interface (WAN) selecione vlan0 e Interface (LAN) selecione vlan1.

4. Agora selecione a interface, e clique em (Speedr-Btn-salvar.png).

Após salvar deverá aparecer dois itens na lista do App L3 Interceptação.

Ao término de todas as etapas, abra páginas e verifique em Objetos Pendentes e Conexões Ativas, que o Speedr, já vai estar trabalhando!