Mudanças entre as edições de "Gerando Log de IPv6 Delegation no Mikrotik"

De Wiki BPF
Ir para: navegação, pesquisa
(Configurando o Mikrotik para gerar o log do Prefix Delegation:)
(Removidas categorias inexistentes.)
 
(7 revisões intermediárias por um outro usuário não estão sendo mostradas)
Linha 1: Linha 1:
Atualmente a entrega de endereços IPv6 com concentradores PPPoE Mikrotik é um grande problema para os provedores, uma vez que o mesmo não faz accounting do prefixo IPv6 designado ao cliente, impossibilitando o provedor de identificar o usuário que utilizou o IPv6.
+
== Introdução ==
 
+
Atualmente a entrega de endereços '''IPv6''' com concentradores PPPoE Mikrotik é um grande problema para os provedores, uma vez que o mesmo não faz accounting do prefixo IPv6 designado ao cliente e não trabalha com atributo radius ''Delegated-IPv6-Prefix'', impossibilitando o provedor de identificar o usuário que utilizou o IPv6.
Será explicado neste como fazer Delegação de Prefixo IPv6 (PD) em ambiente Mikrotik, utilizando pools locais para endereços PD e Link, e gravando um log da data, usuário e prefixo delegado ao cliente, em um servidor syslog remoto.
 
  
== Introdução ==
+
Será explicado neste artigo como fazer Delegação de Prefixo IPv6 (PD) em ambiente Mikrotik, utilizando pools locais para endereços PD e Link, e gravando um log externo da data, usuário e prefixo delegado ao cliente, em um '''servidor syslog remoto'''.
Para gravar os logs com data, nome de usuário e prefixo IPv6 delegado ao cliente, é necessário ter um '''servidor syslog''' remoto, para enviar os dados onde serão gravados.
 
  
 
== Configurações Mikrotik ==
 
== Configurações Mikrotik ==
Linha 14: Linha 12:
  
 
Criando pool de Prefix Delegation para entrega de /56 ao cliente:
 
Criando pool de Prefix Delegation para entrega de /56 ao cliente:
  /ipv6 pool add name=PD prefix=2001:db8:c::/44 prefix-length=56
+
  /ipv6 pool add name=PD prefix=2001:db8:c000::/44 prefix-length=56
  
 
Criando pool de Link pra entrega de /64 na wan do cliente:
 
Criando pool de Link pra entrega de /64 na wan do cliente:
  /ipv6 pool add name=Link prefix=2001:db8:f::/48 prefix-length=64
+
  /ipv6 pool add name=Link prefix=2001:db8:f000::/48 prefix-length=64
 +
[[Arquivo:Pool_IPv6.png|nenhum|commoldura|Configuração de pools IPv6.]]
  
=== Configurando o Mikrotik para gerar o log do Prefix Delegation: ===
+
=== Configurando o Mikrotik para gerar o log do Prefix Delegation ===
 
Assim que estabelecida a sessão PPPoE do Cliente, será executado um script para busca das variáveis da conexão, e geração do log:
 
Assim que estabelecida a sessão PPPoE do Cliente, será executado um script para busca das variáveis da conexão, e geração do log:
 
  /ppp profile
 
  /ppp profile
 
   
 
   
 
  add name=PPPoE on-up="
 
  add name=PPPoE on-up="
  '':local interfaceName [/interface get $interface name];  
+
  '':local interfaceName [/interface get $interface name]; ''
  ''delay 60;
+
  ''delay 60;''
  '':local PrefixoIPv6 [/ipv6 dhcp-server binding get value-name=address [find server=$interfaceName]];
+
  '':local PrefixoIPv6 [/ipv6 dhcp-server binding get value-name=address [find server=$interfaceName]];''
 
  '':log warning "$interfaceName $PrefixoIPv6"''
 
  '':log warning "$interfaceName $PrefixoIPv6"''
 
  " use-ipv6=yes
 
  " use-ipv6=yes
 +
[[Arquivo:Profile.png|nenhum|commoldura|Configuração do script on-up.]]
 +
 
Lembre-se de se setar o profile PPPoE na configuração do usuário, ou colocar o script em itálico no profile default.
 
Lembre-se de se setar o profile PPPoE na configuração do usuário, ou colocar o script em itálico no profile default.
  
=== Configurando o Mikrotik para enviar o log para o servidor syslog: ===
+
=== Configurando o Mikrotik para enviar o log para o servidor syslog ===
 
Todo log ocorrido no ambiente do concentrador do tipo "warning" será enviado para o servidor syslog:
 
Todo log ocorrido no ambiente do concentrador do tipo "warning" será enviado para o servidor syslog:
 
  /system logging action add bsd-syslog=yes name=syslog remote=''IP_Syslog'' remote-port=''Porta_Syslog'' syslog-facility=syslog target=remote
 
  /system logging action add bsd-syslog=yes name=syslog remote=''IP_Syslog'' remote-port=''Porta_Syslog'' syslog-facility=syslog target=remote
  
 
  /system logging add topics=warning action=syslog
 
  /system logging add topics=warning action=syslog
 +
[[Arquivo:Syslog.png|nenhum|commoldura|Configuração para envio do log ao servidor syslog.]]
 +
 
== Configurações  Radius ==
 
== Configurações  Radius ==
 
Após as configurações, é necessário configurar em seu sistema para que o mesmo envie os atributos ''Mikrotik-Delegated-IPv6-Pool'' e ''Framed-IPv6-Pool'' ao Mikrotik (pode ser feito por usuário, ou por plano).
 
Após as configurações, é necessário configurar em seu sistema para que o mesmo envie os atributos ''Mikrotik-Delegated-IPv6-Pool'' e ''Framed-IPv6-Pool'' ao Mikrotik (pode ser feito por usuário, ou por plano).
  
 
== Configurações de Profile PPP ==
 
== Configurações de Profile PPP ==
Caso não utilize Radius, pode ser setado diretamente no profile a opção ''Remote IPv6 Prefix Pool'' e ''DHCPv6 PD Pool (Sete as opções apenas em profiles que o usuário está LIBERADO, caso contrário, o cliente irá navegar via IPv6)''.[[Arquivo:Configuração Profile PPPoE.png|nenhum|commoldura|Configuração diretamente no Profile PPP do Mikrotik]]
+
Caso não utilize Radius, pode ser setado diretamente no profile a opção ''Remote IPv6 Prefix Pool'' e ''DHCPv6 PD Pool (Sete as opções apenas em profiles que o usuário está LIBERADO, caso contrário, o cliente irá navegar via IPv6)''.[[Arquivo:Configuração Profile PPPoE.png|nenhum|commoldura|Configuração diretamente no Profile PPP do Mikrotik.]]
  
 
== Considerações Finais ==
 
== Considerações Finais ==
Linha 46: Linha 49:
 
Desta maneira configurada, a cada sessão PPPoE estabelecida, o Mikrotik executará o script "on-up", gerando um log de conexão, e enviando ao syslog, a fim de manter um histórico de prefixos utilizados pelo cliente, em uma futura solicitação judicial ou mesmo auditoria interna.
 
Desta maneira configurada, a cada sessão PPPoE estabelecida, o Mikrotik executará o script "on-up", gerando um log de conexão, e enviando ao syslog, a fim de manter um histórico de prefixos utilizados pelo cliente, em uma futura solicitação judicial ou mesmo auditoria interna.
  
[[Arquivo:Log conexão pppoe.png|Log gerado pelo Mikrotik e enviado ao syslog após conexão PPPoE estabelecida|commoldura|nenhum]]
+
Log gerado na Mikrotik:
 +
 
 +
[[Arquivo:Log conexão pppoe.png|Log gerado pelo Mikrotik e enviado ao syslog após conexão PPPoE estabelecida.|commoldura|nenhum]]
 +
 
 +
Log recebido pelo syslog remoto:
 +
[[Arquivo:Log graylog.png|nenhum|commoldura|Log recebido pelo syslog remoto (foi utilizado Graylog).]]
  
 
Autor: Bruno Viviani <bruno@net-rubi.com.br>
 
Autor: Bruno Viviani <bruno@net-rubi.com.br>
 +
[[Categoria:IPv6]]

Edição atual tal como às 23h48min de 15 de dezembro de 2019

Introdução

Atualmente a entrega de endereços IPv6 com concentradores PPPoE Mikrotik é um grande problema para os provedores, uma vez que o mesmo não faz accounting do prefixo IPv6 designado ao cliente e não trabalha com atributo radius Delegated-IPv6-Prefix, impossibilitando o provedor de identificar o usuário que utilizou o IPv6.

Será explicado neste artigo como fazer Delegação de Prefixo IPv6 (PD) em ambiente Mikrotik, utilizando pools locais para endereços PD e Link, e gravando um log externo da data, usuário e prefixo delegado ao cliente, em um servidor syslog remoto.

Configurações Mikrotik

Basicamente serão criados pools locais na Mikrotik, que serão subdivididos e entregues aos clientes, gerando um log que será enviado ao servidor syslog para registro.

Neste exemplo utilizaremos um pool IPv6 /44 para entrega de Prefix Delegation com /56, e um pool /48, para entrega de Link com /64, entre o concentrador e wan do cliente.

Criando Pools

Criando pool de Prefix Delegation para entrega de /56 ao cliente:

/ipv6 pool add name=PD prefix=2001:db8:c000::/44 prefix-length=56

Criando pool de Link pra entrega de /64 na wan do cliente:

/ipv6 pool add name=Link prefix=2001:db8:f000::/48 prefix-length=64
Configuração de pools IPv6.

Configurando o Mikrotik para gerar o log do Prefix Delegation

Assim que estabelecida a sessão PPPoE do Cliente, será executado um script para busca das variáveis da conexão, e geração do log:

/ppp profile

add name=PPPoE on-up="
:local interfaceName [/interface get $interface name]; 
delay 60;
:local PrefixoIPv6 [/ipv6 dhcp-server binding get value-name=address [find server=$interfaceName]];
:log warning "$interfaceName $PrefixoIPv6"
" use-ipv6=yes
Configuração do script on-up.

Lembre-se de se setar o profile PPPoE na configuração do usuário, ou colocar o script em itálico no profile default.

Configurando o Mikrotik para enviar o log para o servidor syslog

Todo log ocorrido no ambiente do concentrador do tipo "warning" será enviado para o servidor syslog:

/system logging action add bsd-syslog=yes name=syslog remote=IP_Syslog remote-port=Porta_Syslog syslog-facility=syslog target=remote
/system logging add topics=warning action=syslog
Configuração para envio do log ao servidor syslog.

Configurações Radius

Após as configurações, é necessário configurar em seu sistema para que o mesmo envie os atributos Mikrotik-Delegated-IPv6-Pool e Framed-IPv6-Pool ao Mikrotik (pode ser feito por usuário, ou por plano).

Configurações de Profile PPP

Caso não utilize Radius, pode ser setado diretamente no profile a opção Remote IPv6 Prefix Pool e DHCPv6 PD Pool (Sete as opções apenas em profiles que o usuário está LIBERADO, caso contrário, o cliente irá navegar via IPv6).

Configuração diretamente no Profile PPP do Mikrotik.

Considerações Finais

Desta maneira configurada, a cada sessão PPPoE estabelecida, o Mikrotik executará o script "on-up", gerando um log de conexão, e enviando ao syslog, a fim de manter um histórico de prefixos utilizados pelo cliente, em uma futura solicitação judicial ou mesmo auditoria interna.

Log gerado na Mikrotik:

Log gerado pelo Mikrotik e enviado ao syslog após conexão PPPoE estabelecida.

Log recebido pelo syslog remoto:

Log recebido pelo syslog remoto (foi utilizado Graylog).

Autor: Bruno Viviani <bruno@net-rubi.com.br>