Imagine o seguinte cenário: Você administra a rede de uma empresa que tem uma matriz e uma filial e você está na matriz e a rede da filial está com um problema lógico, intermitente e de difícil diagnóstico, que exige uma análise mais profunda, preferencialmente através de um analisador de pacotes como tcpdump ou wireshark. Você pode coletar os pacotes em um arquivo e enviar esse arquivo para posterior análise, ou ainda enviar via stream para o Wireshark (que teria que ser devidamente configurado para receber o stream) mas vamos supor que você queira e precise monitorar diretamente, e talvez com outra ferramenta que nao suporte stream. Como fazer?
Uma das maneiras é lançando mão do recurso de um túnel do tipo Ethernet over IP. Para tanto você precisará habilitá-lo nos dois lados, ou seja, terá que ter um dispositivo com o RouterOS tanto na matriz quanto na filial. Saiba que você precisará conectar seu computador diretamente a uma porta da CCR ou RB. Vamos ver como configurar.
Para nosso exemplo vamos admitir que o IP público dos RouterOS está configurado da seguinte forma:
Matriz –> 203.0.113.1
Filial –> 203.0.113.2
Primeiro vamos configurar o túnel no lado da matriz:
/interface eoip add name=Tunel-Matriz-Filial remote-address=203.0.113.2 tunnel-id=100
Criar uma bridge que juntará o túnel com a interface física com a qual o seu computador estará ligado. Vamos supor que seja a ether5.
/interface bridge add name=Monitor /interface bridge port add interface=ether5 bridge=Monitor /interface bridge port add interface=Tunel-Matriz-Filial bridge=Monitor
Agora basta seguir a mesma lógica do lado da Filial.
/interface eoip add name=Tunel-Matriz-Filial remote-address=203.0.113.1 tunnel-id=100
Criar uma bridge que juntará o túnel com a interface física que se deseja analisar. Digamos que seja a ether2.
/interface bridge add name=Monitor /interface bridge port add interface=ether2 bridge=Monitor /interface bridge port add interface=Tunel-Matriz-Filial bridge=Monitor
Simples assim!
Tome cuidado para que não haja nenhum serviço tipo DHCP ou PPPoE rodando na porta física onde você irá ligar o computador, e agora basta rodar o seu sniffer preferido.
Se quiser tentar pelo modo via stream dê uma olhada nesse artigo:
https://under-linux.org/entry.php?b=2639