Configuração Via Script

Recomenda-se prioritizar a estruturação das configurações por meio da interface web, garantindo a adesão às melhores práticas de padronização e minimizando riscos operacionais. Esse método assegura um processo streamlined para definição de parâmetros críticos, com validação em tempo real e mitigação de inconsistências na implementação.

Para acesso preciso às funcionalidades, utilize o caminho hierárquico indicado no campo “path” para navegar até o módulo de configuração correspondente na interface administrativa. Esse caminho reflete a arquitetura lógica do sistema, permitindo:

• Aplicação de diretivas pré-configuradas com conformidade técnica;
• Ajustes granulares em parâmetros específicos, alinhados aos requisitos da infraestrutura;
• Validação automática de sintaxe e semântica, reduzindo erros de implementação.

A abordagem orientada por “path” não apenas otimiza a parametrização, mas também facilita a replicação de configurações em ambientes distribuídos, assegurando integridade operacional e auditabilidade.

1  #path=Interface - WAN settings - WAN settings

Ao definir a configuração padrão pela interface do dispositivo, será possível agilizar sua replicação para outros equipamentos, alterando apenas os parâmetros necessários.

Configuração de interfaces WAN

Esta configuração em JSON define os parâmetros operacionais para a interface WAN do dispositivo, estabelecendo tanto as definições básicas quanto os ajustes avançados para o gerenciamento do tráfego e a estabilidade da conexão.

Número de Interfaces WAN

O parâmetro physics_wan_num define que somente uma interface física WAN estará habilitada (valor “1”), o que é fundamental para manter a compatibilidade com determinadas funcionalidades, como o SIMET.

Configuração a Interface WAN1

• Identificação e Protocolo: A interface é identificada como WAN1 e utiliza o protocolo dhcp, permitindo a obtenção dinâmica de endereço IP, gateway e demais informações de rede.

• Desempenho e Balanceamento: As taxas de upload e download bandwidth_up e bandwidth_down estão definidas como 0, apropriadas para cenários de WAN única. Os mecanismos de detecção de gateway e balanceamento de carga estão ativados (ambos com valor “1”), assegurando a eficiência na distribuição do tráfego.

• Modo de Trabalho e Ajustes Avançados: O work_mode está configurado como gateway, onde o dispositivo realiza o NAT das conexões provenientes da LAN. O ajuste do MTU wan_mtu permanece em auto, possibilitando a adaptação conforme as necessidades do ambiente ou orientações do ISP.

• Parâmetros de Rede e Autenticação: O endereço MAC está explicitamente definido como 80:85:44:20:F8:5E. Caso este campo estivesse vazio, o sistema utilizaria o MAC da porta WAN ou geraria um endereço aleatório. A prioridade do DNS é ajustada pelo parâmetro dns_pri com o valor low, e o atributo dns pode ser configurado estaticamente conforme necessário.

Funções Adicionais

• ISP: O atributo isp está definido como “none”, servindo para uso futuro e devendo permanecer inalterado se não houver indicação do contrário.

• Rediscagem Automática de WAN: O parâmetro time_ctrl_enable possibilita a rediscagem automática da interface WAN, com as opções:

  • 0 - Desativado;

  • 3 - Rediscagem Agendada;

  • 4 - Desconexão Agendada;

  • 5 - Rediscagem por Intervalo.

    O valor atual 0 indica que a rediscagem automática está desativada. O parâmetro time_ctrl_value define os dias da semana (de 0 para domingo a 6 para sábado) e o horário para a execução dessa rediscagem, estando configurado como 0-6;01:00, ou seja, a rediscagem ocorrerá diariamente às 01:00, caso a função seja ativada.

• Detecção de IPs Anormais: O atributo abnormal_ip_enable, com valor 0, indica que a detecção de IPs anormais está desativada. Caso ativado (valor 1), a conexão WAN será reiniciada automaticamente ao detectar um IP considerado anormal. Já o parâmetro abnormal_ip_list permite especificar os IPs que, quando detectados, acionariam o reinício da conexão. No exemplo, está configurado com 0.0.0.0 e a recomendação é deixá-lo em branco (“”), utilizando-o somente quando necessário.

Em síntese, esta configuração visa garantir uma operação robusta e eficiente da interface WAN, com um conjunto de mecanismos que permitem a adaptação automática (como a obtenção de IP via DHCP e ajuste do MTU) e o gerenciamento avançado (como rediscagem automática e detecção de anomalias), assegurando a continuidade e a estabilidade da conexão em ambientes de rede críticos.

Exemplo de código de configuração

1 ################################################################################################################
2
3 #
4 #function=wan
5 #path=Interface - WAN settings - WAN settings
6 #
7 # If the MAC address is empty, the MAC address corresponding to the WAN port in the current parameters will be used preferentially.
8 # If no corresponding WAN port is found, a randomly generated MAC address will be used.
9
10 physics_wan_num={"num":1}
11 wan={
12      "wan":"WAN1",
13      "group":"",
14      "remark":"",
15      "proto":"dhcp",
16      "bandwidth_up":0,
17      "bandwidth_down":0,
18      "detection":"1",
19      "balanced":"1",
20      "work_mode":"gateway",
21      "wan_mtu":"auto",
22      "dns":"",
23      "mac":"80:85:44:20:F8:5E",
24      "dns_pri":"low",
25      "isp":"none",
26      "time_ctrl_enable":"0",
27      "time_ctrl_value":"",
28      "abnormal_ip_enable":"0",
29      "abnormal_ip_list":""
30 }

Configuração de Interfaces LAN

Esta configuração em JSON estabelece as definições para a interface LAN do dispositivo, definindo uma estrutura hierárquica onde a interface principal (LAN1) concentra os parâmetros essenciais, enquanto as interfaces LAN2, LAN3 e LAN4 são vinculadas a ela, formando um único segmento de rede.

Configuração da LAN1

• Endereço IP e Máscara: A LAN1 é configurada com o endereço IP 192.168.255.1 e máscara 255.255.255.0, definindo a rede local padrão para os dispositivos conectados.
• MAC Address: O endereço MAC é explicitamente definido como 80:85:44:20:F8:5D. Caso este campo estivesse vazio, o sistema usaria o MAC correspondente à porta LAN ou um gerado aleatoriamente.
• Serviço DHCP: O DHCP está habilitado, permitindo a distribuição automática de endereços IP. O pool vai de 192.168.255.10 a 192.168.255.240, com tempo de concessão de 3600 segundos. O gateway e o DNS primário apontam para 192.168.255.1, enquanto o DNS secundário está configurado como 0.0.0.0, indicando que não há um segundo servidor DNS definido.
• Sub-redes: A opção de sub-rede está desativada (subnet_enable: 0) e a lista de sub-redes encontra-se vazia, o que significa que não há segmentação adicional da LAN.
• Configuração das Interfaces Vinculadas (LAN2, LAN3 e LAN4) Cada uma das interfaces LAN2, LAN3 e LAN4 está associada à LAN1 por meio do parâmetro “bind” : “LAN1”. Isso indica que elas não possuem configurações próprias de IP ou DHCP, herdando ou compartilhando os mesmos parâmetros da interface principal. Tal abordagem é útil para agregar múltiplas portas físicas em um único domínio de broadcast, facilitando o gerenciamento e a consolidação do tráfego.

Em resumo, esta configuração visa centralizar o gerenciamento da rede local na interface LAN1, que fornece os parâmetros básicos de endereçamento e distribuição de IP via DHCP, enquanto as demais interfaces operam de forma integrada, ampliando a capacidade física do segmento sem comprometer a uniformidade das configurações.

Exemplo de Código de Configuração

1 ################################################################
2 #
3 #function=lan
4 #path=Interface - LAN settings - LAN setting
5 #
6 # If the MAC address is empty, the MAC address corresponding to the LAN port in the current parameters will be used preferentially.
7 # If no corresponding LAN port is found, a randomly generated MAC address will be used.
8
9 #LAN
10 lan={
11      "lan":"LAN1",
12      "bind":"off",
13      "lan_ipaddr":"192.168.255.1",
14      "lan_netmask":"255.255.255.0",
15      "remark":"",
16      "mac":"80:85:44:20:F8:5D",
17      "dhcp_type":"on",
18      "dhcp_start":"192.168.255.10",
19      "dhcp_end":"192.168.255.240",
20      "dhcp_lease":"3600",
21      "dhcp_gateway":"192.168.255.1",
22      "dhcp_mask":"255.255.255.0",
23      "dhcp_dns0":"192.168.255.1",
24      "dhcp_dns1":"0.0.0.0",
25      "dhcp_option":"",
26      "subnet_enable":0,
27      "subnet_list":[]}
28 lan={"lan":"LAN2","bind":"LAN1"}
29 lan={"lan":"LAN3","bind":"LAN1"}
30 lan={"lan":"LAN4","bind":"LAN1"}

Configuração de VLAN e DHCP

Esta configuração em JSON define três VLANs distintas para segmentar o tráfego da rede em ambientes separados, cada uma com suas próprias definições de IP e parâmetros de servidor DHCP. De forma resumida:

• VLAN 10 - Administrativo:
• IP/Máscara: 192.168.10.1 / 255.255.255.0
• DHCP: Ativado com faixa de endereços de 192.168.10.100 a 192.168.10.200, lease de 3600 segundos, e gateway e DNS apontando para 192.168.10.1
• VLAN 20 - Acadêmico:
• IP/Máscara: 192.168.20.1 / 255.255.255.0
• DHCP: Ativado com faixa de endereços de 192.168.20.100 a 192.168.20.200, lease de 3600 segundos, e gateway e DNS apontando para 192.168.20.1
• VLAN 30 - Visitantes:
• IP/Máscara: 192.168.30.1 / 255.255.255.0
• DHCP: Ativado com faixa de endereços de 192.168.30.100 a 192.168.30.200, lease de 3600 segundos, e gateway e DNS apontando para 192.168.30.1

Cada bloco configura um segmento de rede com endereçamento exclusivo, garantindo que dispositivos conectados recebam IPs dentro do respectivo escopo e mantendo a separação do tráfego conforme o perfil (Administrativo, Acadêmico e Visitantes). A diretiva de MAC, que utiliza o endereço definido ou, se vazio, o da porta LAN (ou um gerado aleatoriamente), reforça a integridade da identificação física da interface. Por fim, todas as VLANs estão vinculadas à interface “LAN1”, sugerindo que a segregação lógica será aplicada sobre uma mesma porta física, geralmente acompanhada de configurações de tagging em um switch gerenciável.

Esta abordagem permite um controle refinado do tráfego, segurança e eficiência na gestão dos recursos de rede, aspectos essenciais para ambientes corporativos e institucionais.

Exemplo de Código de Configuração

1 #function=lan
2 #path=Interface - LAN settings - LAN setting
3 #
4 # If the MAC address is empty, the MAC address corresponding to the LAN port in the current parameters will be used preferentially.
5 # If no corresponding LAN port is found, a randomly generated MAC address will be used.
6
7
8 vlan={
9      "vlanid":"10",
10      "lan_ipaddr":"192.168.10.1",
11      "lan_netmask":"255.255.255.0",
12      "dhcp_type":"on",
13      "dhcp_lease":3600,
14      "dhcp_start":"192.168.10.100",
15      "dhcp_end":"192.168.10.200",
16      "dhcp_gateway":"192.168.10.1",
17      "dhcp_dns0":"192.168.10.1",
18      "dhcp_dns1":"8.8.8.8",
19      "dhcp_mask":"255.255.255.0",
20      "mac":"00:0E:01:57:AF:CB",
21      "remark":"Administrativo",
22      "dhcp_option":"",
23      "untag_port":"",
24      "bind":"LAN1"}
25 vlan={
26      "vlanid":"20",
27      "lan_ipaddr":"192.168.20.1",
28      "lan_netmask":"255.255.255.0",
29      "dhcp_type":"on",
30      "dhcp_lease":3600,
31      "dhcp_start":"192.168.20.100",
32      "dhcp_end":"192.168.20.200",
33      "dhcp_gateway":"192.168.20.1",
34      "dhcp_dns0":"192.168.20.1",
35      "dhcp_dns1":"8.8.8.8",
36      "dhcp_mask":"255.255.255.0",
37      "mac":"00:82:42:DA:89:BD",
38      "remark":"Academico",
39      "dhcp_option":"",
40      "untag_port":"",
41      "bind":"LAN1"}
42 vlan={
43      "vlanid":"30",
44      "lan_ipaddr":"192.168.30.1",
45      "lan_netmask":"255.255.255.0",
46      "dhcp_type":"on",
47      "dhcp_lease":3600,
48      "dhcp_start":"192.168.30.100",
49      "dhcp_end":"192.168.30.200",
50      "dhcp_gateway":"192.168.30.1",
51      "dhcp_dns0":"192.168.30.1",
52      "dhcp_dns1":"8.8.8.8",
53      "dhcp_mask":"255.255.255.0",
54      "mac":"00:A8:43:80:37:86",
55      "remark":"Visitantes",
56      "dhcp_option":"",
57      "untag_port":"",
58      "bind":"LAN1"}

Configuração de Acesso Remoto

A configuração de acesso remoto permite que administradores gerenciem o dispositivo de maneira segura através da rede local (LAN) ou de redes externas (WAN). Esse tipo de configuração é essencial para a administração remota de equipamentos de rede, possibilitando ajustes e monitoramento sem a necessidade de acesso físico ao dispositivo.

No entanto, o acesso remoto via WAN deve ser configurado com cautela, garantindo que apenas IPs autorizados possam estabelecer conexão, evitando exposições desnecessárias e riscos de segurança.

Considerações Técnicas

• Segurança: O acesso remoto via WAN pode representar um risco significativo caso seja configurado de forma indiscriminada. Recomenda-se restringir o acesso a IPs específicos, evitando exposições desnecessárias.
• Uso de portas seguras: A escolha da porta de acesso remoto (remote_port) deve evitar portas comumente utilizadas (ex: 22, 23, 80, 443, 3389), pois essas portas são frequentemente alvos de ataques automatizados.
• Filtragem de IPs: O parâmetro source_restrictions permite definir quais IPs ou blocos de IPs podem acessar remotamente o dispositivo. Recomenda-se evitar valores como 0.0.0.0/0, pois isso libera o acesso para qualquer origem.
• Monitoramento de Logs: Caso o acesso remoto esteja ativado, é essencial monitorar os logs do sistema para identificar tentativas de acesso não autorizadas e possíveis tentativas de ataque.
• Firewall e NAT: Em redes protegidas por firewall, é necessário garantir que a porta especificada em remote_port esteja aberta e devidamente encaminhada para o dispositivo de destino.

Essa configuração permite um gerenciamento remoto eficiente do equipamento, garantindo flexibilidade na administração, mas requer atenção redobrada quanto à segurança para evitar acessos indevidos e vulnerabilidades na rede.

Para a configuração do acesso ao dispositivo, tanto local quanto remoto, deve ser seguido o padrão abaixo:

Estrutura de Configuração

A configuração é composta por quatro parâmetros fundamentais que controlam o comportamento do acesso remoto, tanto via LAN quanto via WAN.

Exeplo de Código de Configuração

1 basics={
2      "lan_port":80,
3      "remote_enable":1,
4      "remote_port":15555,
5      "source_restrictions":"0.0.0.0/0,200.200.200.0/24"
6      }

Habilitar a Autenticação Via Radius

Para configurar a autenticação via Radius, utilize o parâmetro abaixo dentro do código de configuração.

Exemplo de código de configuração

1 basics={
2      "radius":0
3      }

Configuração Radius

A configuração apresentada refere-se à implementação de um servidor RADIUS (Remote Authentication Dial-In User Service) para gerenciar autenticação, autorização e contabilização de usuários em uma rede. O RADIUS é amplamente utilizado para reforçar a segurança em redes sem fio, garantindo que apenas usuários autorizados tenham acesso aos recursos da rede.

No contexto desta configuração, diversos parâmetros críticos são definidos para assegurar o funcionamento adequado do servidor RADIUS. O parâmetro state indica o estado operacional do servidor, onde 0 representa inativo e 1 ativo. Os campos auth_addr, web_auth_addr e billing_addr especificam os endereços IP e portas dos servidores responsáveis pela autenticação, autenticação via web e contabilização, respectivamente, seguindo o formato IP:porta. A offline_port designa a porta utilizada para comunicação offline, enquanto communication_key estabelece a chave secreta compartilhada entre o cliente RADIUS e o servidor para criptografar as mensagens transmitidas, reforçando a segurança da comunicação.

nas_identity identifica de forma única o NAS (Network Access Server) na infraestrutura RADIUS, sendo essencial para a distinção entre diferentes dispositivos de acesso na rede. O parâmetro interface determina qual interface de rede, como WAN1, será utilizada para o tráfego RADIUS. A opção get_user define se a lista de usuários será obtida diretamente do servidor RADIUS (1 para sim, 0 para não), enquanto auth_mode especifica o método de autenticação adotado: 0 para certificado, 1 para RADIUS e 2 para autenticação local precedendo o RADIUS.

A correta configuração desses parâmetros é vital para garantir que o servidor RADIUS opere de maneira eficiente e segura, proporcionando um controle rigoroso sobre o acesso à rede e monitoramento adequado das atividades dos usuários.

Exemplo de Código de Configuração

1 radius={
2      "state":1,
3      "auth_addr":"10.10.10.100:1812",
4      "web_auth_addr":"10.10.10.100:1812",
5      "billing_addr":"10.10.10.100:1813",
6      "offline_port":3799,
7      "communication_key":"chavecomplexa",
8      "nas_identity":"SOO-12345678",
9      "interface":"WAN1",
10      "get_user":0,
11      "auth_mode":1
12      }

Configuração de Usuários Locais

A configuração apresentada abaixo refere-se à criação e gerenciamento de usuários locais no dispositivo, garantindo controle de acesso e permissões específicas para cada perfil. Essa configuração permite tanto a definição de credenciais em texto plano quanto a utilização de chaves encriptadas, fornecendo uma abordagem flexível e segura para administração de usuários.

No contexto desta implementação, os parâmetros encrypt_user e encrypt_passwd armazenam as credenciais do usuário de forma encriptada, sendo exportadas diretamente pelo dispositivo. Essa prática reforça a segurança, impedindo que credenciais sejam expostas em texto claro. Caso o usuário opte por definir manualmente o nome e a senha, os campos encriptados devem ser deixados em branco. Essa abordagem garante compatibilidade com diferentes cenários de configuração, evitando conflitos ao importar dados para outro dispositivo

Ao exportar a configuração de outro roteador não modifique sob nenhuma hipótese, nenhum parâmetro dos campos encrypt_user e encrypt_passwd pois poderá inutilizar o acesso ao dispositivo, sendo necessário redefiní-lo as configurações de fábrica

Os parâmetros user e passwd permitem a inserção das credenciais em texto plano, sendo recomendados apenas para a configuração inicial de usuários. Uma vez que as credenciais são configuradas, o ideal é utilizar os valores encriptados gerados pelo próprio sistema. Essa prática minimiza riscos de exposição e garante maior segurança ao gerenciamento de acessos.

O parâmetro role define o nível de permissão do usuário no sistema. O valor Administrators concede acesso total às configurações do dispositivo, permitindo modificações e ajustes avançados. Já a opção guest restringe as permissões, permitindo apenas a visualização de configurações sem possibilidade de alteração. Essa diferenciação de privilégios assegura que somente usuários autorizados possam realizar mudanças críticas na infraestrutura do sistema.

A correta configuração desses parâmetros é essencial para garantir um ambiente seguro e bem administrado, permitindo um controle granular sobre os acessos ao dispositivo e prevenindo modificações indevidas por usuários não autorizados.

Exeplo de Código de Configuração

1 user={
2      "encrypt_user":"",
3      "encrypt_passwd":"",
4      "user":"usuario",
5      "passwd":"senhacomplexa",
6      "role":"Administrators"
7      }
8 user={
9      "encrypt_user":"uyIz21VtF3N7CErRtY8Ssg==",
10      "encrypt_passwd":"t/ffuYNFBY6oyeG2R3WwsA==",
11      "user":"",
12      "passwd":"",
13      "role":"Administrators"
14      }
15 user={
16      "encrypt_user":"SIM3gJ3ZoLYS5L7wlFCaaA==",
17      "encrypt_passwd":"t/ffuYNFBY6oyeG2R3WwsA==",
18      "user":"",
19      "passwd":"",
20      "role":"guest"
21      }