Mudanças entre as edições de "Gerando Log de IPv6 Delegation no Mikrotik"

De Wiki BPF
Ir para navegação Ir para pesquisar
(Removidas categorias inexistentes.)
 
(10 revisões intermediárias por um outro usuário não estão sendo mostradas)
Linha 1: Linha 1:
Atualmente a entrega de endereços IPv6 com concentradores PPPoE Mikrotik é um grande problema para os provedores, uma vez que o mesmo não faz accounting do prefixo IPv6 designado ao cliente, impossibilitando o provedor de identificar o usuário que utilizou o IPv6.
+
== Introdução ==
 
+
Atualmente a entrega de endereços '''IPv6''' com concentradores PPPoE Mikrotik é um grande problema para os provedores, uma vez que o mesmo não faz accounting do prefixo IPv6 designado ao cliente e não trabalha com atributo radius ''Delegated-IPv6-Prefix'', impossibilitando o provedor de identificar o usuário que utilizou o IPv6.
Será explicado neste como fazer Delegação de Prefixo IPv6 (PD) em ambiente Mikrotik, utilizando pools locais para endereços PD e Link, e gravando um log da data, usuário e prefixo delegado ao cliente, em um servidor syslog remoto.
 
  
== Introdução ==
+
Será explicado neste artigo como fazer Delegação de Prefixo IPv6 (PD) em ambiente Mikrotik, utilizando pools locais para endereços PD e Link, e gravando um log externo da data, usuário e prefixo delegado ao cliente, em um '''servidor syslog remoto'''.
Para gravar os logs com data, nome de usuário e prefixo IPv6 delegado ao cliente, é necessário ter um '''servidor syslog''' remoto, para enviar os dados onde serão gravados.
 
  
 
== Configurações Mikrotik ==
 
== Configurações Mikrotik ==
Linha 14: Linha 12:
  
 
Criando pool de Prefix Delegation para entrega de /56 ao cliente:
 
Criando pool de Prefix Delegation para entrega de /56 ao cliente:
  /ipv6 pool add name=PD prefix=2001:db8:c::/44 prefix-length=56
+
  /ipv6 pool add name=PD prefix=2001:db8:c000::/44 prefix-length=56
  
 
Criando pool de Link pra entrega de /64 na wan do cliente:
 
Criando pool de Link pra entrega de /64 na wan do cliente:
  /ipv6 pool add name=Link prefix=2001:db8:f::/48 prefix-length=64
+
  /ipv6 pool add name=Link prefix=2001:db8:f000::/48 prefix-length=64
 +
[[Arquivo:Pool_IPv6.png|nenhum|commoldura|Configuração de pools IPv6.]]
  
=== Configurando o Mikrotik para gerar o log do Prefix Delegation: ===
+
=== Configurando o Mikrotik para gerar o log do Prefix Delegation ===
 
Assim que estabelecida a sessão PPPoE do Cliente, será executado um script para busca das variáveis da conexão, e geração do log:
 
Assim que estabelecida a sessão PPPoE do Cliente, será executado um script para busca das variáveis da conexão, e geração do log:
 
  /ppp profile
 
  /ppp profile
Linha 25: Linha 24:
 
  add name=PPPoE on-up="
 
  add name=PPPoE on-up="
 
  '':local interfaceName [/interface get $interface name]; ''
 
  '':local interfaceName [/interface get $interface name]; ''
  delay 60;
+
  ''delay 60;''
  :local PrefixoIPv6 [/ipv6 dhcp-server binding get value-name=address [find server=$interfaceName]];
+
  '':local PrefixoIPv6 [/ipv6 dhcp-server binding get value-name=address [find server=$interfaceName]];''
  :log warning "$interfaceName $PrefixoIPv6"
+
  '':log warning "$interfaceName $PrefixoIPv6"''
 
  " use-ipv6=yes
 
  " use-ipv6=yes
Lembre-se de se setar o profile PPPoE como default, ou colocar o script em itálico no profile default.
+
[[Arquivo:Profile.png|nenhum|commoldura|Configuração do script on-up.]]
  
=== Configurando o Mikrotik para enviar o log para o servidor syslog: ===
+
Lembre-se de se setar o profile PPPoE na configuração do usuário, ou colocar o script em itálico no profile default.
 +
 
 +
=== Configurando o Mikrotik para enviar o log para o servidor syslog ===
 
Todo log ocorrido no ambiente do concentrador do tipo "warning" será enviado para o servidor syslog:
 
Todo log ocorrido no ambiente do concentrador do tipo "warning" será enviado para o servidor syslog:
 
  /system logging action add bsd-syslog=yes name=syslog remote=''IP_Syslog'' remote-port=''Porta_Syslog'' syslog-facility=syslog target=remote
 
  /system logging action add bsd-syslog=yes name=syslog remote=''IP_Syslog'' remote-port=''Porta_Syslog'' syslog-facility=syslog target=remote
  
 
  /system logging add topics=warning action=syslog
 
  /system logging add topics=warning action=syslog
 +
[[Arquivo:Syslog.png|nenhum|commoldura|Configuração para envio do log ao servidor syslog.]]
 +
 
== Configurações  Radius ==
 
== Configurações  Radius ==
 
Após as configurações, é necessário configurar em seu sistema para que o mesmo envie os atributos ''Mikrotik-Delegated-IPv6-Pool'' e ''Framed-IPv6-Pool'' ao Mikrotik (pode ser feito por usuário, ou por plano).
 
Após as configurações, é necessário configurar em seu sistema para que o mesmo envie os atributos ''Mikrotik-Delegated-IPv6-Pool'' e ''Framed-IPv6-Pool'' ao Mikrotik (pode ser feito por usuário, ou por plano).
  
 
== Configurações de Profile PPP ==
 
== Configurações de Profile PPP ==
Caso não utilize Radius, pode ser setado diretamente no profile a opção ''Remote IPv6 Prefix Pool'' e ''DHCPv6 PD Pool (Sete as opções apenas em profiles que o usuário está bloqueado, caso contrário, o cliente irá navegar via IPv6)''.[[Arquivo:Configuração Profile PPPoE.png|nenhum|commoldura|Configuração diretamente no Profile PPP do Mikrotik]]
+
Caso não utilize Radius, pode ser setado diretamente no profile a opção ''Remote IPv6 Prefix Pool'' e ''DHCPv6 PD Pool (Sete as opções apenas em profiles que o usuário está LIBERADO, caso contrário, o cliente irá navegar via IPv6)''.[[Arquivo:Configuração Profile PPPoE.png|nenhum|commoldura|Configuração diretamente no Profile PPP do Mikrotik.]]
  
 
== Considerações Finais ==
 
== Considerações Finais ==
Linha 46: Linha 49:
 
Desta maneira configurada, a cada sessão PPPoE estabelecida, o Mikrotik executará o script "on-up", gerando um log de conexão, e enviando ao syslog, a fim de manter um histórico de prefixos utilizados pelo cliente, em uma futura solicitação judicial ou mesmo auditoria interna.
 
Desta maneira configurada, a cada sessão PPPoE estabelecida, o Mikrotik executará o script "on-up", gerando um log de conexão, e enviando ao syslog, a fim de manter um histórico de prefixos utilizados pelo cliente, em uma futura solicitação judicial ou mesmo auditoria interna.
  
[[Arquivo:Log conexão pppoe.png|Log gerado pelo Mikrotik e enviado ao syslog após conexão PPPoE estabelecida|commoldura|nenhum]]
+
Log gerado na Mikrotik:
 +
 
 +
[[Arquivo:Log conexão pppoe.png|Log gerado pelo Mikrotik e enviado ao syslog após conexão PPPoE estabelecida.|commoldura|nenhum]]
 +
 
 +
Log recebido pelo syslog remoto:
 +
[[Arquivo:Log graylog.png|nenhum|commoldura|Log recebido pelo syslog remoto (foi utilizado Graylog).]]
  
 
Autor: Bruno Viviani <bruno@net-rubi.com.br>
 
Autor: Bruno Viviani <bruno@net-rubi.com.br>
 +
[[Categoria:IPv6]]

Edição atual tal como às 23h48min de 15 de dezembro de 2019

Introdução

Atualmente a entrega de endereços IPv6 com concentradores PPPoE Mikrotik é um grande problema para os provedores, uma vez que o mesmo não faz accounting do prefixo IPv6 designado ao cliente e não trabalha com atributo radius Delegated-IPv6-Prefix, impossibilitando o provedor de identificar o usuário que utilizou o IPv6.

Será explicado neste artigo como fazer Delegação de Prefixo IPv6 (PD) em ambiente Mikrotik, utilizando pools locais para endereços PD e Link, e gravando um log externo da data, usuário e prefixo delegado ao cliente, em um servidor syslog remoto.

Configurações Mikrotik

Basicamente serão criados pools locais na Mikrotik, que serão subdivididos e entregues aos clientes, gerando um log que será enviado ao servidor syslog para registro.

Neste exemplo utilizaremos um pool IPv6 /44 para entrega de Prefix Delegation com /56, e um pool /48, para entrega de Link com /64, entre o concentrador e wan do cliente.

Criando Pools

Criando pool de Prefix Delegation para entrega de /56 ao cliente:

/ipv6 pool add name=PD prefix=2001:db8:c000::/44 prefix-length=56

Criando pool de Link pra entrega de /64 na wan do cliente:

/ipv6 pool add name=Link prefix=2001:db8:f000::/48 prefix-length=64
Configuração de pools IPv6.

Configurando o Mikrotik para gerar o log do Prefix Delegation

Assim que estabelecida a sessão PPPoE do Cliente, será executado um script para busca das variáveis da conexão, e geração do log:

/ppp profile

add name=PPPoE on-up="
:local interfaceName [/interface get $interface name]; 
delay 60;
:local PrefixoIPv6 [/ipv6 dhcp-server binding get value-name=address [find server=$interfaceName]];
:log warning "$interfaceName $PrefixoIPv6"
" use-ipv6=yes
Configuração do script on-up.

Lembre-se de se setar o profile PPPoE na configuração do usuário, ou colocar o script em itálico no profile default.

Configurando o Mikrotik para enviar o log para o servidor syslog

Todo log ocorrido no ambiente do concentrador do tipo "warning" será enviado para o servidor syslog:

/system logging action add bsd-syslog=yes name=syslog remote=IP_Syslog remote-port=Porta_Syslog syslog-facility=syslog target=remote
/system logging add topics=warning action=syslog
Configuração para envio do log ao servidor syslog.

Configurações Radius

Após as configurações, é necessário configurar em seu sistema para que o mesmo envie os atributos Mikrotik-Delegated-IPv6-Pool e Framed-IPv6-Pool ao Mikrotik (pode ser feito por usuário, ou por plano).

Configurações de Profile PPP

Caso não utilize Radius, pode ser setado diretamente no profile a opção Remote IPv6 Prefix Pool e DHCPv6 PD Pool (Sete as opções apenas em profiles que o usuário está LIBERADO, caso contrário, o cliente irá navegar via IPv6).

Configuração diretamente no Profile PPP do Mikrotik.

Considerações Finais

Desta maneira configurada, a cada sessão PPPoE estabelecida, o Mikrotik executará o script "on-up", gerando um log de conexão, e enviando ao syslog, a fim de manter um histórico de prefixos utilizados pelo cliente, em uma futura solicitação judicial ou mesmo auditoria interna.

Log gerado na Mikrotik:

Log gerado pelo Mikrotik e enviado ao syslog após conexão PPPoE estabelecida.

Log recebido pelo syslog remoto:

Log recebido pelo syslog remoto (foi utilizado Graylog).

Autor: Bruno Viviani <bruno@net-rubi.com.br>