Ainda hoje encontramos alguns bugs no Mikrotik, e um dos maiores motivos de buscar essa solução foi que freeradius não registra os logs de IPv6 PD (Mikrotik), o IPv6 que vai se configurar na LAN cliente (o mais importante a ser guardado), seria muito mais fácil para muitos sistemas se implementassem o Delegated-IPv6-Prefix, mas já faz 6 anos (jan/2020) que é motivo de discussão lá no forum. E para variar a solução é dar aquele jeitinho…. (Popular gambiarra)

Para montar esse servidor de logs você precisa apenas de um serviço WEB (Apache/NGINX) PHP7+ e um banco de dados MySQL/MariaDB.

Requisito para montar um servidor do zero:
– Debian 10 Stretch / Instalação Limpa
– Como criar um servidor WEB Apache + PHP + MariaDB + phpMyAdmin no Debian 10 Buster “LAMP”

Você precisa ter um pouquinho de conhecimento em IPv6 e saber dividir as subclasses. Recomendo dar uma olhadinha no http://ipv6.nic.br/ lá irá encontrar cursos do NIC.BR.

Recomendo você instalar uma calculadora de IPv6. Aqui vai uma calculador muito boa que uso no dia a dia.

# apt install wget python-ipaddr
# wget https://blog.remontti.com.br/arquivos/Home/ip6calc -O /bin/ip6calc
# chmod +x /bin/ip6calc

Para fazer o calculo use ex.:

# ip6calc 2001:db8:abcd::/48

Para esse projeto desenvolvi em PHP alguns arquivos onde fica “ouvido” os logs que o Mikrotik irá enviar e uma telinha simples para fazer buscas dos IPs nesse banco de dados. Já disponibilizei ele lá no github.

Com seu servidor web configurado, seria bacana criar um host no seu dns e configurar nesse seu servdor web um domínio virtual ex.: log6.seudominio.com.br onde você irá jogar os arquivos do projeto. Mas como muitos não tem essa facilidade vou tentar deixar aqui a forma mais simples, que é jogar os arquivos no diretório padrão do apache “/var/www/html”, assim qualquer um consegue montar

Acessamos o diretório base então

# cd /var/www/html
# wget https://github.com/remontti/LogIPv6RouterOS/archive/master.zip
# apt install unzip
# unzip master.zip 
# mv LogIPv6RouterOS-master logs6
# cd logs6

Por segurança crie/edite um .htaccess para proteger que apenas determinados IPs tenham acesso. (apensar de ter um token)

# vim .htaccess

Altere pelo IPs que você deseja que tenham acesso. (Seus router e seu NOC)

Options -Indexes
<RequireAll>
    <RequireAny>
        Require ip 200.200.200.0/24
        Require ip 192.168.0.0/26
        Require ip 2001:db8::/32
    </RequireAny>
</RequireAll>

Precisaremos criar um banco de dados e nossa tabela. Para gerar suas senhas/token recomendo https://senhasegura.remontti.com.br/ e gerar algo aleatório.

# mariadb -p

Crie o banco de dados, não esqueça de alterar a senha (SUA_SENHA_DA_CONEXAO)

CREATE DATABASE logs6;
GRANT ALL PRIVILEGES ON logs6.* TO 'logs6'@'localhost' IDENTIFIED BY 'SUA_SENHA_DA_CONEXAO';
FLUSH PRIVILEGES;
quit;

Importe a tabela utilizando a senha criada anteriormente

# mariadb -u logs6 logs6 < logs6_mikrotik.sql -p

Agora altere no arquivo config.php o token para validar seu envio de dados e acessar o interface simples que desenvolvi para buscas, e a senha de conexão com banco (db_password).

?php
/* Your security token  */
$token = 'xxxxxxxxxxxxx';

/* Set langage */
// Portugês Brasil: pt-br
// English:  en
$lang = 'pt-br';

/* Db conect */
$db_host = 'localhost';
$db_user = 'logs6';
$db_password = 'SUA_SENHA_DA_CONEXAO';
$db_name = 'logs6';

Agora acesse sua http(s)://URL/logs6/. Você deve receber a seguinte tela.

Já pode autenticar com seu token (ainda não terá logs, então não adianta querer fazer buscas rsrsrs)

Se alguém tiver ideias melhores/criticas todas são bem vindas, sinta-se a vontade para criar forks do projeto.

Para entregar IPv6 em seu Mk é claro que precisa ter conectividade v6 em seu concentrador PPPoE (Não vou entrar em detalhes nessa parte pois entraria na questão roteamento da sua rede, mas se vale de ajuda como dica um iBGP/OSPF resolve fácil)

Servidor preparado para receber os logs vamos ao routerOS/Mikrotik. Você precisará criar duas Pool, uma para WAN outra para a LAN, como recomendação do nic.br para LAN do cliente devemos enviar um prefixo /56 (mas isso não é uma regra). A calcular pode ajudar muito nessa parte. No meu exemplo vou reservar um prefixo /48 para entregar prefixos /64 na WAN (65.536 prefixos/64), e um prefixo /45 entregando prefixos /56 oque daria 2.048 prefixos (clientes).

Ex 2001:db8:1000::/48 (WAN)

Ex 2001:db8:2000::/45 (LAN)

IPv6 -> Pool

Alteramos no profile. Menu PPP aba Profiles.

Remote IPv6 Prefix Pool selecione sua pool_wan e DHCPv6 PD Pool sua pool_lan

Na abra Protocol, Use IPv6 selecione yes.

Vamos ao pulo do gato na aba Scripts. A ideia aqui é toda vez que um PPPoE conectar ou desconectar ele execute um script. Vai ser necessário que você altere o TOKEN que você configurou lá no config.php, informe a URL (URLUP) correta que encontrará seu arquivo log6.php e em checkconnection informe o IP do seu servidor (explico o motivo a seguir).

:global TOKEN "xxxxxxxxxxxxxxxx";
:global URLUP "http://logs6.remontti.com.br/log6.php";
:global checkconnection "200.200.200.200";

A lógica é: Antes de tentar enviar as informações/valores (via post ao log6.php) fazer uma verificação se a conexão exite com o servidor de log, isso foi necessário ao simular uma "queda de energia", as vezes ele pode autenticar antes de conseguir uma conexão (se seu o usuários estiver no routerOS e ai perdemos todos os logs) nesse caso ele fica aguardando por até 5 min na tentativa (ping ao ip checkconnection) antes prosseguir, caso exista uma conexão (checkconnection) então prossegue com o script coletando as informações.

Eu aproveitei coletar IPv4 como localAddr (NAS), remoteAddr (IPv4 entregue ao cliente) isso vai facilitar também em uma analise se você quiser bater com os dados do freeradius (radacct), já aproveitei também para capturar o callerId (MAC), serviço PPP calledId. Acredito que com essas informações podem ser uteis para outros fins. Seguindo o script todo o PPPoE que subir ele vai criar um prefixo (WAN) RemoteIPv6 e em seguida precisei fazer um while que setei 60 seg para que a cada segundo ele tente identificar em /ipv6 dhcp-server binding se o cliente solicitou o prefixo que ele vai auto se configurar em sua LAN, passando por esses requisitos ele irai gerar um LOG (que você também pode estar salvando em um servidor de log remoto) e finalizando fará um fetch com os dados do binding caso ele consiga ou enviará null para a URL e assim o servidor salva-lo no banco de dados. Você verá dois logs na tela de logs, um azul quando uma conexão subir e um vermelho quando desconectar, se você desejar não ter esses logs é só remover as linha "log warning message=..... / :log error message=....."

Acesse PPP vá até a aba profile e configure os script do profile. Não esqueça de alterar as variáveis globais.

On UP

{
  :global TOKEN "xxxxxxxxxxxxxxxx";
  :global URLUP "http://________________/logs6/log6.php";
  :global checkconnection "200.200.200.200";
  :local ii 0;
  :local tt 300; # Aguarda até 5min para tentar 
  while ( $ii < $tt && ([/ping $checkconnection count=1]=0) ) do={
    :put $ii
    :set $ii ($ii + 1)
    :delay delay-time=1s
    :log error "Awaiting connection ... $checkconnection";
  }
  :local localAddr $"local-address"
  :local remoteAddr $"remote-address"
  :local callerId $"caller-id"
  :local calledId $"called-id"
  :local interfaceName [/interface get $interface name]
  :local RemoteIPv6 [/ipv6 nd prefix get value-name=prefix [find interface=$interfaceName]]
  :local i 0;
  :local x 1;  
  :local t 60; # Segundos aguardando ipv6 ser configurado no cliente
  while ($i < $t && [ :len [/ipv6 dhcp-server binding find server=$interfaceName] ] < $x) do={
    :put $i
    :set $i ($i + 1)
    :delay delay-time=1s
  }
  if ($i = $t) do={
    :log warning message="UP: $user | $callerId | $calledId | $remoteAddr | $localAddr | $RemoteIPv6 | NULL"
    /tool fetch url="$URLUP" http-data="action=i&token=$TOKEN&user=$user&mac=$callerId&nas=$localAddr&service=$calledId&ipv4=$remoteAddr&remoteipv6=$RemoteIPv6" http-method=post
  } else={
    :local DHCPv6PD [/ipv6 dhcp-server binding get value-name=address [find server=$interfaceName]]
    :log warning message="UP: $user | $callerId | $calledId | $remoteAddr | $localAddr | $RemoteIPv6 | $DHCPv6PD"
    /tool fetch url="$URLUP" http-data="action=i&token=$TOKEN&user=$user&mac=$callerId&nas=$localAddr&service=$calledId&ipv4=$remoteAddr&remoteipv6=$RemoteIPv6&dhcpv6pd=$DHCPv6PD" http-method=post
  }
  file remove log6.php
}

E ao desconectar vamos enviar ao servidor que o mesmo descontou.
On Down

{
  :global TOKEN "xxxxxxxxxxxxxxxx"
  :global URLDOWN "http://________________/logs6/log6.php"
  :local localAddr $"local-address"
  :local callerId $"caller-id"
  /tool fetch url="$URLDOWN" http-data="action=u&token=$TOKEN&user=$user&mac=$callerId&nas=$localAddr" http-method=post
  :log warning message="DOWN: $user | $callerId | $localAddr"
  file remove log6.php
}

Para concluir em IPv6 -> ND

Marque todas as opções.

No menu IP -> DNS também informe os DNS IPv6. Só assim o cliente irá aprender um DNSv6 (Advertise DNS)

Agora todo PPPoE que autenticar um log será registrado, o legal aqui é que se alguém não utiliza Radius poderá também ter um log

No arquivo log6.php que recebe os logs sempre que um usuário conectar ele irá verificar se não existe uma conexão em aberta, pois em casos de quedas de energia não vai existir tempo para ele informar que o pppoe desconectou, então ele fecha a conexão com a hora da nova conexão, logo esse IP pode ter sido utilizado por algum outro usuário, neste caso ele registra a hora que fechou a conexão com "falha" (failure), para no caso de uma investigação você observar se o mesmo ip não teve algum outro usuário que usou na horário solicitado.

Pelo phpMyAdmin também fica muito fácil de fazer buscas.

Para quem deseja bloquear um cliente IPv6, uma solução é no Router criar outra Pool6 com uma classe "invalida" por exemplo 2001:db8:6666::/48, e no freeradius usar o attibute Mikrotik-Delegated-IPv6-Pool, pode ser na tabela radreply (dizendo para qual usuário) ou para um grupo de configurações (radgroupreply) "plano".

Mikrotik:

Freeradius
Ex.: radreply

INSERT INTO `radreply` (`username`, `attribute`, `op`, `value`) VALUES
('nome_user', 'Mikrotik-Delegated-IPv6-Pool', '=', 'ipv6_drop');

Ex.: radgroupreply

INSERT INTO `radgroupreply` (`groupname`, `attribute`, `op`, `value`) VALUES
('PLANO_BLOQUEADO', 'Mikrotik-Delegated-IPv6-Pool', '=', 'ipv6_drop');

Desta forma o routerOS interpretará o nome da pool pelo atriburo Mikrotik-Delegated-IPv6-Pool, e assim que o cliente logar ele não pegará do bloco válido. Até poderia usar uma válido e bloquear no firewall (mas isso é coisa de sistema amador #ficadica).

Se seu freradius é antigo (v2.x) precisará ter o dictionary atualizado.

Vou deixar um exemplo de como configurar um pppoe cliente em um mikrotik, já que percebi um bug quando ele precisa renovar seu IPv6.

/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 password=SENHA use-peer-dns=yes user=SENHA

/ipv6 dhcp-client
add interface=pppoe-out1 pool-name=DHCPv6PD pool-prefix-length=56 request=prefix

/ipv6 address
add advertise=yes from-pool=DHCPv6PD interface=INTERFACE_LAN

/ppp profile
set *0 on-up="{\r\
    \n  /delay delay-time=5s\r\
    \n  /ipv6 dhcp-client renew numbers=0\r\
    \n  /delay delay-time=2s\r\
    \n  /ipv6 dhcp-client renew numbers=0\r\
    \n}"
/ipv6 firewall mangle
add action=change-mss chain=forward new-mss=clamp-to-pmtu passthrough=yes \
    protocol=tcp tcp-flags=syn

Gambiarazinha no profile para renovar o IP sem dor de cabeça toda vez que ele autenticar (bugs)

{
  /delay delay-time=5s
  /ipv6 dhcp-client renew numbers=0
  /delay delay-time=2s
  /ipv6 dhcp-client renew numbers=0
}

Gostou? Espero que você consiga implementar seu IPv6 e esteja seguro com os logs armazenado!

Se quiser fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Abraço!

RouterOS v7

Descomente os # :log warning "DEBUG>...." se precisar debugar o script, ou remova para deixar mais enxuto o script.

UP

{
  # :log warning "DEBUG> UP: Iniciando o script logs6";
  :global TOKEN "xxxxxxxxxxxxxxxx";
  :global URLUP "http://logs6.remontti.com.br/log6.php";
  :global checkconnection "10.0.0.1";
  :local ii 0;
  :local tt 60;
  while ( $ii < $tt && ([/ping $checkconnection count=1]=0) ) do={
    :put $ii
    :set $ii ($ii + 1)
    :delay delay-time=1s
    :log error "Aguardando conexao com servidor... $checkconnection";
  }
  :local localAddr $"local-address"
  # :log warning "DEBUG> localAddr = $localAddr";
  :local remoteAddr $"remote-address"
  # :log warning "DEBUG> remoteAddr = $remoteAddr";
  :local callerId $"caller-id"
  # :log warning "DEBUG> callerId = $callerId";
  :local calledId $"called-id"
  # :log warning "DEBUG> calledId = $calledId";
  :local userName $"user"
  # :log warning "DEBUG> userName = $userName";
  :local interfaceID $"interface"
  # :log warning "DEBUG> interfaceID = $interfaceID";
  :local interfaceName [/interface get $interfaceID name]  
  # :log warning "DEBUG> interfaceName = $interfaceName";
  :local RemoteIPv6 [/ipv6 nd prefix get value-name=prefix [find interface=$interfaceName]]
  # :log warning "DEBUG> RemoteIPv6 = $RemoteIPv6";
  :local i 0;
  :local x 1;  
  :local t 60;
  while ($i < $t && [ :len [/ipv6 dhcp-server binding find server=$interfaceName] ] < $x) do={    
    :put $i    
    :set $i ($i + 1)
    :delay delay-time=1s
    # :log warning "DEBUG> Aguardando IPv6 da LAN de $userName ($i)s";
  }
  :local file [/file find name="log6.php"]
  :if ([:len $file] > 0) do={
      /file remove log6.php
  }  
  if ($i = $t) do={
    # :log warning "DEBUG> IPv6 LAN: não descoberto descoberto";
    :log warning message="UP: $user | $callerId | $calledId | $remoteAddr | $localAddr | $RemoteIPv6 | NULL"
    # :log warning "DEBUG> Executando fetch UP: $URLUP http-data=action=i&token=$TOKEN&user=$user&mac=$callerId&nas=$localAddr&service=$calledId&ipv4=$remoteAddr&remoteipv6=$RemoteIPv6 http-method=post"
    /tool/fetch url="$URLUP" http-data="action=i&token=$TOKEN&user=$user&mac=$callerId&nas=$localAddr&service=$calledId&ipv4=$remoteAddr&remoteipv6=$RemoteIPv6" http-method=post
  } else={    
    :local DHCPv6PD [/ipv6 dhcp-server binding get value-name=address [find server=$interfaceName]]
    # :log warning "DEBUG> IPv6 LAN: Descoberto descoberto $DHCPv6PD";
    :log warning message="UP: $user | $callerId | $calledId | $remoteAddr | $localAddr | $RemoteIPv6 | $DHCPv6PD"
    # :log warning "DEBUG> Executando fetch UP: $URLUP http-data=action=i&token=$TOKEN&user=$user&mac=$callerId&nas=$localAddr&service=$calledId&ipv4=$remoteAddr&remoteipv6=$RemoteIPv6&dhcpv6pd=$DHCPv6PD http-method=post";
    /tool/fetch url="$URLUP" http-data="action=i&token=$TOKEN&user=$user&mac=$callerId&nas=$localAddr&service=$calledId&ipv4=$remoteAddr&remoteipv6=$RemoteIPv6&dhcpv6pd=$DHCPv6PD" http-method=post
  }
  :delay delay-time=1s
  # :log warning "DEBUG> Removendo arquivo log6.php";
  :local file [/file find name="log6.php"]
  :if ([:len $file] > 0) do={
      /file remove log6.php
  }
  # :log warning "DEBUG> Script concluído."
}

DOWN

{
  # :log warning "DEBUG> DOWN: Iniciando o script logs6";
  :global TOKEN "xxxxxxxxxxxxxxxx"
  :global URLDOWN "http://logs6.remontti.com.br/log6.php"
  :local localAddr $"local-address"
  # :log warning "DEBUG> localAddr = $localAddr";
  :local callerId $"caller-id"
  # :log warning "DEBUG> calledId = $calledId";
  :local file [/file find name="log6.php"]
  :if ([:len $file] > 0) do={
      /file remove log6.php
  }  
  # :log warning "DEBUG> Executando fetch DOWN: $URLDOWN http-data=action=u&token=$TOKEN&user=$user&mac=$callerId&nas=$localAddr http-method=post";
  /tool/fetch url="$URLDOWN" http-data="action=u&token=$TOKEN&user=$user&mac=$callerId&nas=$localAddr" http-method=post
  :log warning message="DOWN: $user | $callerId | $localAddr"
  :delay delay-time=1s
  # :log warning "DEBUG> Removendo arquivo log6.php";
  :local file [/file find name="log6.php"]
  :if ([:len $file] > 0) do={
      /file remove $file
  }
  # :log warning "DEBUG> Script concluído."
}

O post Como entregar IPv6+IPv4 no Mikrotik/RouterOS através de PPPoE/DHCPv6 PD e registrando os logs em um banco de dados apareceu primeiro em Remontti.