Dica: Monitorando em modo promíscuo remotamente pelo Mikrotik

Imagine o seguinte cenário: Você administra a rede de uma empresa que tem uma matriz e uma filial e você está na matriz e a rede da filial está com um problema lógico, intermitente e de difícil diagnóstico, que exige uma análise mais profunda, preferencialmente através de um analisador de pacotes como tcpdump ou wireshark. Você pode coletar os pacotes em um arquivo e enviar esse arquivo para posterior análise, ou ainda enviar via stream para o Wireshark (que teria que ser devidamente configurado para receber o stream) mas vamos supor que você queira e precise monitorar diretamente, e talvez com outra ferramenta que nao suporte stream. Como fazer?

Uma das maneiras é lançando mão do recurso de um túnel do tipo Ethernet over IP. Para tanto você precisará habilitá-lo nos dois lados, ou seja, terá que ter um dispositivo com o RouterOS tanto na matriz quanto na filial. Saiba que você precisará conectar seu computador diretamente a uma porta da CCR ou RB. Vamos ver como configurar.

Para nosso exemplo vamos admitir que o IP público dos RouterOS está configurado da seguinte forma:

Matriz –> 203.0.113.1
Filial –> 203.0.113.2

Primeiro vamos configurar o túnel no lado da matriz:

Criar uma bridge que juntará o túnel com a interface física com a qual o seu computador estará ligado. Vamos supor que seja a ether5.

Agora basta seguir a mesma lógica do lado da Filial.

Criar uma bridge que juntará o túnel com a interface física que se deseja analisar. Digamos que seja a ether2.

Simples assim!

Tome cuidado para que não haja nenhum serviço tipo DHCP ou PPPoE rodando na porta física onde você irá ligar o computador, e agora basta rodar o seu  sniffer preferido.

Se quiser tentar pelo modo via stream dê uma olhada nesse artigo:
https://under-linux.org/entry.php?b=2639