ThunderCache y TPROXY ( PROXY 100% Transparente )

Tema en '[ThunderCache] Instalación & Configuración' iniciado por ryohnosuke, 20 Ago 2012.

  1. ryohnosuke

    ryohnosuke MikroTik Support Guy Administrador

    Me Gusta recibidos:
    167
    Para entender qué es TPROXY, se tendría que tener claro qué es un PROXY. Esta información de wikipedia será de ayuda http://es.wikipedia.org/wiki/Proxy.

    Estoy seguro que más de uno ha escuchado el término 'PROXY Transparente', y es también muy probable que lo relacionemos a una redirección de tráfico hecha en NAT o en Mangle, lo que es correcto.

    [​IMG]

    Esta imagen corresponde a una configuración de 'PROXY Transparente'; si lo vemos con más cuidado, nuestros clientes hacen la petición de Internet al servidor MikroTik, pero este redirecciona esas peticiones al servidor ThunderCache y este último es quien realmente termina haciendo la petición de Internet; de esa manera nuestros clientes no notan que existe un PROXY, y es hasta ahí donde termina el 'PROXY Transparente'.

    Cómo notarán, la configuración de 'PROXY Transparente' puede ser transparente para nuestros clientes, pero es un hecho que NO ES TRANSPARENTE para Internet.

    En el caso del Modo Bridge es muy parecido, en la siguiente imagen notarán que el que hace las peticiones será realmente el servidor ThunderCache, y no nuestros clientes.

    [​IMG]


    Entonces, ¿En qué se diferencia TPROXY de un "PROXY Transparente"?

    TPROXY es un tipo de implementación que hará que todo este proceso sea 100% Transparente, ya sea para nuestros clientes, y asi como para Internet.
     
  2. ryohnosuke

    ryohnosuke MikroTik Support Guy Administrador

    Me Gusta recibidos:
    167
    Modo Paralelo + TPROXY (Con una sóla tarjeta de red)

    [​IMG]

    Como notarán de la imagen referencial, a pesar de que MikroTik está redireccionando las peticiones de nuestros clientes al servidor ThunderCache, son nuestros clientes los que terminan haciendo la petición a Internet.


    Nota:

    Tengan en cuenta que esta configuración es más apropiada para redes routeadas que para redes NATeadas, aunque a decir verdad nada impide que lo usemos si lo nuestro es el último caso.



    Esta sería la configuración típica. Si ya contamos con nuestro servidor funcionando (Running) tal como está en el Tutorial de Instalación, entonces no hay mucho que hacer.



    Panel de Control de BM Software

    Sólo es necesario configurar 2 opciones adicionales en el Panel de Control:

    [​IMG]

    100% Transparent Proxy (TPROXY): Yes
    TOS Out Marking (Decimal): 80


    ThunderCenter

    Es más que obvio, sólo hay que activar el Modo TPROXY y salvar cambios.
    [​IMG]


    MikroTik

    Esta sería la parte más 'complicada' para terminar la configuración de TPROXY.

    Repito una vez más, en esta guía tomo en cuenta que nuestro servidor ThunderCache YA está funcionando perfectamente junto a MikroTik tal como indica el Tutorial de Instalación.

    Si revisamos el Tutorial de Instalación, veremos que en Mangle sólo se agrega una regla para redireccionar a los clientes (obviamente ya la tienen), y es la siguiente:

    CODE, HTML o PHP Insertado:
    /ip firewall mangle
    add action=mark-routing chain=prerouting comment="Redireccion a Thunder" disabled=no dst-port=80 in-interface=LAN protocol=tcp new-routing-mark=thunder_route passthrough=yes
    Entonces, si nos guiamos de ello, para configurar TPROXY sólo es necesario colocar 2 reglas adicionales:

    CODE, HTML o PHP Insertado:
    /ip firewall mangle
    add action=mark-routing chain=prerouting comment="Redireccion a Thunder" disabled=no dst-port=80 in-interface=LAN protocol=tcp new-routing-mark=thunder_route passthrough=yes
    add action=mark-connection chain=prerouting dscp=20 in-interface=PROXY new-connection-mark=thunder_out passthrough=yes
    add action=mark-routing chain=prerouting connection-mark=thunder_out in-interface=WAN new-routing-mark=thunder_route passthrough=yes
    Las nuevas reglas son la #3 y la #4

    De la regla #3

    DSCP=20, es la conversión de TOS=80 que configuramos en el Panel de Control, si se necesita más detalles de esta conversión entonces lea el último punto del Tutorial de Instalación.
    PROXY, es el nombre de la interfaz de red donde está conectado el servidor ThunderCache, y deberían de cambiar ese nombre a lo que usen ustedes.

    De la regla #4

    WAN, es el nombre de la interfaz de red WAN que tienen, obviamente.


    Las demás reglas de marcado de paquetes para Full Cache son las mismas que el Tutorial de Instalación.


    Con esto ya debería de estar todo funcionando, revisen 2 veces el tutorial antes de solicitar ayuda.
     
    Última edición: 28 Mar 2014
  3. ryohnosuke

    ryohnosuke MikroTik Support Guy Administrador

    Me Gusta recibidos:
    167
    Modo Bridge + TPROXY

    [​IMG]

    Es la mejor manera de trabajar el Modo Bridge, acompañado de TPROXY, así nuestros clientes siempre utlizarán sus propias IP's cuando hagan peticiones a través del servidor ThunderCache.

    Al igual que con la guía anterior, tomaré en cuenta que YA tenemos a nuestro servidor ThunderCache funcionando en Modo Bridge según esta guía de configuración para el Modo Bridge.

    Esta vez es mucho más simple ya que no tenemos ningún servidor MikroTik que configurar.


    Panel de Control de BM Software

    Ya que aquí no entra MikroTik, sólo es necesario configurar una opción en el Panel de Control:

    [​IMG]

    100% Transparent Proxy (TPROXY): Yes


    ThunderCenter

    Al igual que la guía anterior, sólo hay que activar el Modo TPROXY y salvar los cambios.
    [​IMG]

    Eso sería todo para tener a nuestro servidor en Modo Bridge + TPROXY activado.


    Importante:

    De momento no es posible trabajar en Modo Bridge + TPROXY cuando el gateway del servidor ThunderCache es un MikroTik y tiene Hotspot activado, estamos revisando este detalle.
     
    Última edición: 28 Mar 2014
  4. ryohnosuke

    ryohnosuke MikroTik Support Guy Administrador

    Me Gusta recibidos:
    167
    Importante



    Sobre IP's privadas

    ThunderCache, por defecto, no activará el Modo TPROXY cuando las peticiones sean hechas por IP's privadas. Las IP's privadas, o IP's no públicas, son rangos de red designados únicamente para el uso interno de una red (intranet), estos rangos son:

    CODE, HTML o PHP Insertado:
    10.0.0.0/8 
    172.16.0.0/12
    192.168.0.0/16
    Para poder activar el Modo TPROXY cuando trabajemos con estas IP's, será necesario agregar el siguiente código en el archivo de configuración de Thunder, o thunder.conf, para eso vamos a ThunderCenter -> Settings -> ThunderCache, y agregamos el siguiente código al final de nuestra información de licencia:

    CODE, HTML o PHP Insertado:
    TPROXY_INVALID_IPS TRUE
    [​IMG]

    Una vez guardado los cambios, será necesario reiniciar el servicio ThunderCache.



    Sobre PROXY Tests y PROXY Checkers

    Como sabrán, si visitamos www.whatismyip.com o www.lagado.com/proxy-test, siempre nos dirán que estamos navegando a través de un PROXY; obviamente no sería muy agradable utilizar TPROXY y que aún así puedan descubrir que estamos realmente detrás de uno; en ese caso, para evitar ser 'descubiertos', sólo es necesario agregar el siguiente código en el archivo de configuración de Thunder, o thunder.conf, para eso vamos a ThunderCenter -> Settings -> ThunderCache, y agregamos el siguiente código al final de nuestra información de licencia:

    CODE, HTML o PHP Insertado:
    SHOWPROXY FALSE
    [​IMG]

    Una vez guardado los cambios, será necesario reiniciar el servicio ThunderCache.



    Sobre seguridad, ataques, y permisos

    Si tenemos a nuestro servidor ThunderCache con una IP pública y no existe firewall alguno que lo proteja, entonces será necesario activar y configurar un WhiteList o un BlackList según nos convenga.

    El WhiteList (Lista Blanca), o BlackList (Lista Negra), se encuentran desactivados por defecto en la configuración de red de ThunderCenter. Tener presente que sólo se debe trabajar uno, o bien WhiteList o bien BlackList, pero NO los 2 a la vez.

    WhiteList, aquí agregaremos a la red -o lista de redes- cuyas peticiones queramos que el servidor ThunderCache acepte; las peticiones de las redes que no estén en esta lista serán completamente denegadas.

    [​IMG]

    WhiteList es lo más usado para que no se aprovechen de nuestro servidor cuando este tiene salida directa a Internet, ya que sólo aceptará las peticiones a las redes que especifiquemos en la lista.


    BlackList, lo contrario a lo anterior, aquí agregaremos a la red -o lista de redes- cuyas peticiones queramos que sean denegadas; las peticiones de las redes que no estén en esta lista serán aceptadas por ThunderCache.

    [​IMG]

    En lo personal aún no le encuentro mucha razón de ser, me gusta más usar WhiteList, pero imagino que a alguien le debe servir.


    Sobre Simple Queues y límites de velocidad.

    Cuando se utiliza el Modo Paralelo con una sola tarjeta de red y TPROXY activado en el mismo RB o Servidor MikroTik que hace el control de ancho de banda, las IP's de nuestros clientes serán reflejadas tanto en la interfaz LAN y Thunder.

    Esto quiere decir que, si nosotros limitamos la velocidad de nuestros clientes agregando reglas a Simple Queue y NO especificamos la interfaz de red a limitar, entonces el límite se dará en todas las interfaces de red: LAN y Thunder; en pocas palabras, la velocidad que le damos al cliente será la mitad de lo especificado.

    La solución es fácil, simplemente tocará especificar la interfaz de red a limitar en la pestaña Advanced, en nuestro caso es LAN.

    [​IMG]

    Si se limita la velocidad por DHCP, Hotspot, o PPPoE, entonces no hay problema ya que estos limitan la velocidad de la interfaz LAN por defecto.
     
  5. juankujar

    juankujar New Member

    Me Gusta recibidos:
    0
    Muy buen aporte! Una consulta: ya es posible usar modo bridge + tproxy? (ya está implementado?), en nuestro caso tenemos un mikrotik como gateway pero sin hotspot. Saludos.
     
  6. ryohnosuke

    ryohnosuke MikroTik Support Guy Administrador

    Me Gusta recibidos:
    167
    Sí, ya es posible el modo Bridge + TPROXY

    Saludos
     
  7. monsefu

    monsefu Member

    Me Gusta recibidos:
    0
    esta bueno , lo veo + rapido pero lo q todavia tengo duda es del 127.0.0.1;dns1:dns2 me parece q no trabaja bien
     
  8. MartinArg

    MartinArg Member

    Me Gusta recibidos:
    2
    Esto funciona solo para licencias pagas o tambien para thunder ADS ?
     
  9. madarajackk

    madarajackk Active Member

    Me Gusta recibidos:
    9
    Ryo el modo TPROXY es compatible con licencia ADS :confused:.

    Saludos...
     
  10. levis50133

    levis50133 Member

    Me Gusta recibidos:
    1
    Necesariamente el (TRANSPARENT MODE:) Tiene que estar como la Imagen que muestras en YES? para poder aplicar el TPROXY? y si funciona con licencias ADS, comentado anterior mente por (madarajackk y MartinArg ) Saludos.
     
    Última edición por un moderador: 27 Mar 2014
  11. djdagoluna

    djdagoluna Member

    Me Gusta recibidos:
    6
    hola amigos alguien me podria decir que ventajas o mejoras tendria en mi servicio canviando a esta configuracionn? gracias
     
    Última edición por un moderador: 28 Mar 2014
  12. igianc

    igianc Member

    Me Gusta recibidos:
    2
    reinstale thunder y formatie un disco por que no se dejaba montar por que tube problemas luego de actualizar ala 926, pues hice todo para activar paralelo TPROXY pero nada no logro hacerlo andar, entonces lo puse como siempre y si todo bien ¨¨! aplique la regla del thunder.conf del showproxy false y si funciona solo me muestra el ip jejeje
     
  13. 4ugusto

    4ugusto Member

    Me Gusta recibidos:
    0
    Ryo, que ventajas tendríamos si cambiamos de la configuración Paralelo (Una sola tarjeta en thunder y redireccionado por NAT) a esta nueva.

    Es también para las licencias ADS?.

    Saludos.
     
  14. levis50133

    levis50133 Member

    Me Gusta recibidos:
    1
    De la regla #4

    WAN, es el nombre de la interfaz de red WAN que tienen, obviamente. ?
     
  15. madarajackk

    madarajackk Active Member

    Me Gusta recibidos:
    9
    Bro wan viene hacer el ether1

    Saludos...
     
  16. madarajackk

    madarajackk Active Member

    Me Gusta recibidos:
    9
    Hola bro que ip te muestra
     
  17. madarajackk

    madarajackk Active Member

    Me Gusta recibidos:
    9
    Mi red se puso leeennnnntaa :(

    Saludos...
     
  18. ingjaab

    ingjaab Active Member

    Me Gusta recibidos:
    0
    mmmmmmmmmmm:cool:. digame si eso mejorar los juegos online :cool:
     
  19. monsefu

    monsefu Member

    Me Gusta recibidos:
    0
    tengo un pregunta acerca de WhiteList
    que ip coloco mi LAN (192.168.2.0/04) - WAN(192.168.0.0/24) y el THUNDER (10.0.0.222)
    o esas ip q veo en de WhiteList
     
  20. ryohnosuke

    ryohnosuke MikroTik Support Guy Administrador

    Me Gusta recibidos:
    167
    Sólo tu LAN es necesario; o sea, todas las redes que quieres que Thunder acepte peticiones.

    Saludos.
     

Compartir esta página