Mudanças entre as edições de "Gerando Log de IPv6 Delegation no Mikrotik"
(Removidas categorias inexistentes.) |
|||
(10 revisões intermediárias por um outro usuário não estão sendo mostradas) | |||
Linha 1: | Linha 1: | ||
− | Atualmente a entrega de endereços IPv6 com concentradores PPPoE Mikrotik é um grande problema para os provedores, uma vez que o mesmo não faz accounting do prefixo IPv6 designado ao cliente, impossibilitando o provedor de identificar o usuário que utilizou o IPv6 | + | == Introdução == |
− | + | Atualmente a entrega de endereços '''IPv6''' com concentradores PPPoE Mikrotik é um grande problema para os provedores, uma vez que o mesmo não faz accounting do prefixo IPv6 designado ao cliente e não trabalha com atributo radius ''Delegated-IPv6-Prefix'', impossibilitando o provedor de identificar o usuário que utilizou o IPv6. | |
− | |||
− | + | Será explicado neste artigo como fazer Delegação de Prefixo IPv6 (PD) em ambiente Mikrotik, utilizando pools locais para endereços PD e Link, e gravando um log externo da data, usuário e prefixo delegado ao cliente, em um '''servidor syslog remoto'''. | |
− | |||
== Configurações Mikrotik == | == Configurações Mikrotik == | ||
Linha 14: | Linha 12: | ||
Criando pool de Prefix Delegation para entrega de /56 ao cliente: | Criando pool de Prefix Delegation para entrega de /56 ao cliente: | ||
− | /ipv6 pool add name=PD prefix=2001:db8: | + | /ipv6 pool add name=PD prefix=2001:db8:c000::/44 prefix-length=56 |
Criando pool de Link pra entrega de /64 na wan do cliente: | Criando pool de Link pra entrega de /64 na wan do cliente: | ||
− | /ipv6 pool add name=Link prefix=2001:db8: | + | /ipv6 pool add name=Link prefix=2001:db8:f000::/48 prefix-length=64 |
+ | [[Arquivo:Pool_IPv6.png|nenhum|commoldura|Configuração de pools IPv6.]] | ||
− | === Configurando o Mikrotik para gerar o log do Prefix Delegation | + | === Configurando o Mikrotik para gerar o log do Prefix Delegation === |
Assim que estabelecida a sessão PPPoE do Cliente, será executado um script para busca das variáveis da conexão, e geração do log: | Assim que estabelecida a sessão PPPoE do Cliente, será executado um script para busca das variáveis da conexão, e geração do log: | ||
/ppp profile | /ppp profile | ||
Linha 25: | Linha 24: | ||
add name=PPPoE on-up=" | add name=PPPoE on-up=" | ||
'':local interfaceName [/interface get $interface name]; '' | '':local interfaceName [/interface get $interface name]; '' | ||
− | delay 60; | + | ''delay 60;'' |
− | :local PrefixoIPv6 [/ipv6 dhcp-server binding get value-name=address [find server=$interfaceName]]; | + | '':local PrefixoIPv6 [/ipv6 dhcp-server binding get value-name=address [find server=$interfaceName]];'' |
− | :log warning "$interfaceName $PrefixoIPv6" | + | '':log warning "$interfaceName $PrefixoIPv6"'' |
" use-ipv6=yes | " use-ipv6=yes | ||
− | + | [[Arquivo:Profile.png|nenhum|commoldura|Configuração do script on-up.]] | |
− | === Configurando o Mikrotik para enviar o log para o servidor syslog | + | Lembre-se de se setar o profile PPPoE na configuração do usuário, ou colocar o script em itálico no profile default. |
+ | |||
+ | === Configurando o Mikrotik para enviar o log para o servidor syslog === | ||
Todo log ocorrido no ambiente do concentrador do tipo "warning" será enviado para o servidor syslog: | Todo log ocorrido no ambiente do concentrador do tipo "warning" será enviado para o servidor syslog: | ||
/system logging action add bsd-syslog=yes name=syslog remote=''IP_Syslog'' remote-port=''Porta_Syslog'' syslog-facility=syslog target=remote | /system logging action add bsd-syslog=yes name=syslog remote=''IP_Syslog'' remote-port=''Porta_Syslog'' syslog-facility=syslog target=remote | ||
/system logging add topics=warning action=syslog | /system logging add topics=warning action=syslog | ||
+ | [[Arquivo:Syslog.png|nenhum|commoldura|Configuração para envio do log ao servidor syslog.]] | ||
+ | |||
== Configurações Radius == | == Configurações Radius == | ||
Após as configurações, é necessário configurar em seu sistema para que o mesmo envie os atributos ''Mikrotik-Delegated-IPv6-Pool'' e ''Framed-IPv6-Pool'' ao Mikrotik (pode ser feito por usuário, ou por plano). | Após as configurações, é necessário configurar em seu sistema para que o mesmo envie os atributos ''Mikrotik-Delegated-IPv6-Pool'' e ''Framed-IPv6-Pool'' ao Mikrotik (pode ser feito por usuário, ou por plano). | ||
== Configurações de Profile PPP == | == Configurações de Profile PPP == | ||
− | Caso não utilize Radius, pode ser setado diretamente no profile a opção ''Remote IPv6 Prefix Pool'' e ''DHCPv6 PD Pool (Sete as opções apenas em profiles que o usuário está | + | Caso não utilize Radius, pode ser setado diretamente no profile a opção ''Remote IPv6 Prefix Pool'' e ''DHCPv6 PD Pool (Sete as opções apenas em profiles que o usuário está LIBERADO, caso contrário, o cliente irá navegar via IPv6)''.[[Arquivo:Configuração Profile PPPoE.png|nenhum|commoldura|Configuração diretamente no Profile PPP do Mikrotik.]] |
== Considerações Finais == | == Considerações Finais == | ||
Linha 46: | Linha 49: | ||
Desta maneira configurada, a cada sessão PPPoE estabelecida, o Mikrotik executará o script "on-up", gerando um log de conexão, e enviando ao syslog, a fim de manter um histórico de prefixos utilizados pelo cliente, em uma futura solicitação judicial ou mesmo auditoria interna. | Desta maneira configurada, a cada sessão PPPoE estabelecida, o Mikrotik executará o script "on-up", gerando um log de conexão, e enviando ao syslog, a fim de manter um histórico de prefixos utilizados pelo cliente, em uma futura solicitação judicial ou mesmo auditoria interna. | ||
− | [[Arquivo:Log conexão pppoe.png|Log gerado pelo Mikrotik e enviado ao syslog após conexão PPPoE estabelecida|commoldura|nenhum]] | + | Log gerado na Mikrotik: |
+ | |||
+ | [[Arquivo:Log conexão pppoe.png|Log gerado pelo Mikrotik e enviado ao syslog após conexão PPPoE estabelecida.|commoldura|nenhum]] | ||
+ | |||
+ | Log recebido pelo syslog remoto: | ||
+ | [[Arquivo:Log graylog.png|nenhum|commoldura|Log recebido pelo syslog remoto (foi utilizado Graylog).]] | ||
Autor: Bruno Viviani <bruno@net-rubi.com.br> | Autor: Bruno Viviani <bruno@net-rubi.com.br> | ||
+ | [[Categoria:IPv6]] |
Edição atual tal como às 23h48min de 15 de dezembro de 2019
Introdução
Atualmente a entrega de endereços IPv6 com concentradores PPPoE Mikrotik é um grande problema para os provedores, uma vez que o mesmo não faz accounting do prefixo IPv6 designado ao cliente e não trabalha com atributo radius Delegated-IPv6-Prefix, impossibilitando o provedor de identificar o usuário que utilizou o IPv6.
Será explicado neste artigo como fazer Delegação de Prefixo IPv6 (PD) em ambiente Mikrotik, utilizando pools locais para endereços PD e Link, e gravando um log externo da data, usuário e prefixo delegado ao cliente, em um servidor syslog remoto.
Configurações Mikrotik
Basicamente serão criados pools locais na Mikrotik, que serão subdivididos e entregues aos clientes, gerando um log que será enviado ao servidor syslog para registro.
Neste exemplo utilizaremos um pool IPv6 /44 para entrega de Prefix Delegation com /56, e um pool /48, para entrega de Link com /64, entre o concentrador e wan do cliente.
Criando Pools
Criando pool de Prefix Delegation para entrega de /56 ao cliente:
/ipv6 pool add name=PD prefix=2001:db8:c000::/44 prefix-length=56
Criando pool de Link pra entrega de /64 na wan do cliente:
/ipv6 pool add name=Link prefix=2001:db8:f000::/48 prefix-length=64
Configurando o Mikrotik para gerar o log do Prefix Delegation
Assim que estabelecida a sessão PPPoE do Cliente, será executado um script para busca das variáveis da conexão, e geração do log:
/ppp profile add name=PPPoE on-up=" :local interfaceName [/interface get $interface name]; delay 60; :local PrefixoIPv6 [/ipv6 dhcp-server binding get value-name=address [find server=$interfaceName]]; :log warning "$interfaceName $PrefixoIPv6" " use-ipv6=yes
Lembre-se de se setar o profile PPPoE na configuração do usuário, ou colocar o script em itálico no profile default.
Configurando o Mikrotik para enviar o log para o servidor syslog
Todo log ocorrido no ambiente do concentrador do tipo "warning" será enviado para o servidor syslog:
/system logging action add bsd-syslog=yes name=syslog remote=IP_Syslog remote-port=Porta_Syslog syslog-facility=syslog target=remote
/system logging add topics=warning action=syslog
Configurações Radius
Após as configurações, é necessário configurar em seu sistema para que o mesmo envie os atributos Mikrotik-Delegated-IPv6-Pool e Framed-IPv6-Pool ao Mikrotik (pode ser feito por usuário, ou por plano).
Configurações de Profile PPP
Caso não utilize Radius, pode ser setado diretamente no profile a opção Remote IPv6 Prefix Pool e DHCPv6 PD Pool (Sete as opções apenas em profiles que o usuário está LIBERADO, caso contrário, o cliente irá navegar via IPv6).
Considerações Finais
Desta maneira configurada, a cada sessão PPPoE estabelecida, o Mikrotik executará o script "on-up", gerando um log de conexão, e enviando ao syslog, a fim de manter um histórico de prefixos utilizados pelo cliente, em uma futura solicitação judicial ou mesmo auditoria interna.
Log gerado na Mikrotik:
Log recebido pelo syslog remoto:
Autor: Bruno Viviani <bruno@net-rubi.com.br>