Configurar Mikrotik… Novedades en HTTPS, Thunder Cache y FreeBSD

PorRodrigo Anrrango

Configurar Mikrotik… Novedades en HTTPS, Thunder Cache y FreeBSD

https

Enterate de las novedades de HTTPS, Thunder Cache y FreeBSD, lee detenidamente este articulo y actualizate…

HTTPS 

Para empezar,el servidor debe estar instalado en el proveedor, configurado y funcionando allí. Hemos probado varias posibilidades, incluyendo sistemas desarrollados descifrado SSL funcional. Pero nada se llevó el «plug-and-play» nivel de seguridad y también nos lo esperábamos.

Como muchos saben Squid almacena en caché HTTPS durante más de cinco años. Pero esto implica una serie de «requisitos» (el más correcto sería llamar «hacks») para poner en funcionamiento. Entre ellos, el más problemático está instalado en la máquina cliente, o cualquier otro dispositivo utilizado por él, un certificado de «Autoridad de Certificación» generado por el proveedor.

Para esta instalación, el proveedor puede ser «honesto» con el cliente, y decir que es necesaria la instalación para dar mayor velocidad en el acceso a los espacios protegidos, pero para ser realmente honesto, tendría que exponer al cliente que sería todo un acceso seguro ser descifrado por el proveedor.

 

¿El usuario final acepta? O bien, el proveedor no puede informar al cliente, pero imagine un cliente descubrir por otros medios, que el canal de comunicación que se balancea a su información bancaria, los correos electrónicos y todo lo demás no es «seguro», como las garantías SSL?

Y era sólo ética y las cuestiones jurídicas aún tienen dificultades técnicas. ¿Cómo será el caché pro tráfico de redireccionamiento? Muchos dicen que quieren almacenar en caché HTTPS sólo para youtube, facebook y unas cuantas cosas más.

Sólo que es imposible saber lo que es una conexión HTTPS, sin tener que descifrar y analizar encabezados. Tal vez se pudo encontrar el bloque CIDR de una ADN y hacer el cambio de dirección única de ese bloque.

Sería bueno hacer esto con Google, después de todo, es donde el youtube, gran idea si no fuera por que gmail es que CIDR. Así que la única manera sería una regla que envía todo el puerto 443 Pro Trueno, ¿neh? Pero ¿qué pasa con los clientes que no aceptaron instalar el certificado?

Y si tienes la casa de un amigo con un usuario móvil que no tiene el certificado instalado? O, si el formato de cliente de la máquina? Cómo el proveedor sabrá si el cliente tiene que enviar el certificado (o no) el pro caché tráfico? En todos estos casos, el cliente recibiría una conexión no confiable de alerta en el navegador, creando una enorme carga para el proveedor.

Por todas las razones antes mencionadas, estamos pensando en «park» (pero no abandonamos) la idea, y vamos tras las mejores maneras, tanto legal como técnicamente, nosotros almacenamos en caché HTTPS. 

 

Asimismo, no descartó la posibilidad de utilizar el certificado instalado en el cliente, pero tenemos que pensar de una manera más «transparente», tanto el proveedor profesional y el usuario final profesional.

Sin embargo, creemos que sólo las empresas utilizarían este tipo de interceptación SSL o pequeños proveedores, donde podían controlar la instalación del certificado en el cliente.

Es bueno pensar fuera de la caja de veces, por lo que te pido: Ustedes, nuestros usuarios, ¿qué piensa usted de esta solución? Volvería a usar? Los clientes piensan de ustedes aceptan?

FreeBSD ISO 10 

Como muchos saben, la ISO BSD-9 fue desarrollado por el equipo de FreeBSD Brasil, socio BM Software. Sin embargo, con el paso de la cosa, nos dimos cuenta de que había una gran limitación en el tiempo que Brasil tenía con el desarrollo de la norma ISO de FreeBSD, y, por tanto, BM Software contrató a una persona para quedarse sólo por hacer una ISO 10 con BSD y mantener ella, con todas las actualizaciones y los cambios necesarios que van surgiendo con el tiempo.

Esto nos será de gran ayuda en los próximos retos que se plantean.

Sin embargo, FreeBSD que BM Software utiliza FreeBSD no es lo mismo que hemos descargado en el sitio web. Hay muchas adaptaciones en el mismo código del kernel que nos permita extraer la máxima velocidad posible de la pila de red del sistema y nos permite utilizar los paquetes de interceptación en la capa 2 a la suplantación de IP para TPROXY. Todo esto tenía que ser hecho de nuevo para FreeBSD 10.

También estamos están realizando una inmensa mejora en el firewall de FreeBSD para permitir la captura de paquetes por segundo casi el triple de lo que era posible antes.

El cambio a FreeBSD 10, en todos los sentidos que miremos, traerá grandes beneficios para el sistema, que tendrá un gran avance en rendimiento y apoyar un crecimiento sostenido, y para los usuarios que tienen un sistema a prueba de tontos con el apoyo que es la mayoría del hardware moderno. Pero ella trajo un solo problema: el Panel.

Panel de control 2.0 

El Panel ThunderCache de control, en su primera versión, hizo uso de una tecnología abierta de Facebook, llamada HipHop PHP, que compila el código PHP a C + + y se incluye un mini servidor web todo en un solo binario, la optimización de hasta un 50% la velocidad de las páginas en comparación con cualquier servidor web conocido, y la eliminación de 90% de las dependencias que necesitan un servidor web, y que el sistema traería pérdidas considerables.

Todo iba bien, hasta que el Facebook abandonó la idea de compilar el código PHP y lo transformó en un simple HipHop VM leer y construir sobre la marcha de código PHP. Para nosotros ya no era viable, por lo que la falta de seguridad en algunas reglas de negocio que teníamos en el código PHP, como la ola de dependencias que el nuevo modo de destacados.

Entonces podríamos utilizar el Panel de control de ISO 10 con BSD estudió diversas formas, y decidió innovar:. Node.js que utilizamos para el backend, y AngularJS a la parte delantera del panel. Tanto la tecnología de vanguardia en lo que hace cada uno. Tomamos todas las reglas de negocio que se hicieron previamente en PHP y compilados en C + +, y se transforman en un solo binario, hecho enteramente en puro C.

Estos cambios nos dieron aliento y el espíritu: ¿Hemos disminuimos el uso de la CPU y la memoria del panel en un 70%.

Lógicamente, el panel no va a salir por completo, después de todo, se tomó un año para permanecer como está, no se puede hacer todo en dos meses (sí, empezamos a recodar el panel de la nada por menos de 2 meses antes de que estábamos trabajando en HTTPS).

** GRATUITO: Descubre en VÍDEO ¡cómo Configurar Mikrotik Wireless en SOLO 45 minutos o menos!

Usted está casi listo su versión beta, que se basa sólo en la necesidad esencial para la configuración y gestión del servicio ThunderCache. El resto de características se añadirán más tarde como actualizaciones.

Para este panel, preparamos el binario con alguna necesaria para ser reconocidos por ella cambia, y por lo tanto aún no divulgar la misma a los usuarios del panel actual. Y eso no es todo lo que tenemos a la noticia

ThunderCache 7.2 

El par de 980 marcará el final de la edad 7.1. Será el último binario lanzado con nuevas características para 7.1. Después de eso, seguir manteniendo la línea con 7,1 apoyo y correcciones. Pero el equipo se centrará en ThunderCache 7.2, que ya está en desarrollo.

Hoy en día hay 2 tipos de software que permiten que la red funcione un sistema de programación paralela. La primera es la programación orientada a eventos, utilizada por Squid. La segunda es la programación multi-hilo, que es utilizado por ThunderCache 7.1. 

Los eventos permiten un gran rendimiento de las conexiones con el sistema, sin embargo, es muy limitada en el uso de múltiples núcleos de procesador. Así que limita, que Squid utiliza una sola máquina principal, ni siquiera tener 16 o más a su disposición.

Todavía puede satisfacer las demandas de hasta 400Mbps de tráfico (más si se ajusta finamente y con algunas restricciones en el tráfico).

Hacer que los hilos permiten que el sistema de utilizar todos los núcleos disponibles de manera muy eficiente, sin embargo, puede ser un obstáculo cuando se utiliza en grandes cantidades. El ThunderCache 7.1 llegó a su límite en un hardware relativamente fuerte, con casi 40.000 hilos con un tráfico de 1Gbps.

Para ThunderCache 7.2, se optó por unir estos dos mundos, que reúne lo mejor de cada uno. El proxy tomó 3 meses para prepararse. Pasamos 2 esos 3 meses en el desarrollo de ingeniería de Eventos Multi-Thread, que es capaz de extraer el 100% de uso de todos los núcleos disponibles en la máquina, sin necesidad de utilizar recursos adicionales.

El primer «prototipo» de 7,2 se terminó allí unos 2 meses. Las primeras pruebas mostraron una ganancia de tonterías 200% en comparación con el 7,1 (51 000 solicitudes / segundo de 7,2 frente a 17 millones de dólares de 7.1). Y todavía podemos mejorar.

(Traduccion de la version Original tomada de overnix)

No olvides dejar tus comentarios… Yo mismo los responderé… 

Rodrigo Anrrango 
Experto en MikroTik Wireless v6 & Ubiquiti AirMax 
http://ConfigurarMikrotikWireless.com/

 

 

 

 

 

Acerca del autor

Rodrigo Anrrango administrator

20 comments so far

Julio GuijarroPublicado en6:10 pm - Ago 12, 2014

Saludos cordiales Rodrigo necesito saber que caracteristicas tiene que tener un maquina o pc para hacer thundercache para que funcione super bien

Juan Peña BeltrePublicado en12:16 am - Ago 19, 2014

Hola rodrigo, se acerca diciembre y es la fecha en la cual quiero comenzar con mi isp y se que tengo que ampliar mis conocimientos aunque he aprendido algo pero se que pronto te comprare el curso primero comprare los equipos y con tu curso hacer la practica.

Quiero saber sinceramente si Raptor cache me puede resolver como servidor para clientes que usaran muchos vídeo ¿que ventajas tiene thunder cache si es que la tiene? porque me dijeron que para los vídeos el raptor es muy superior, ¿se pondrá raptor en paralelo con mikrotik?

Juan Peña BeltrePublicado en12:27 am - Ago 24, 2014

Gracias Rodrigo..Si Thunderche funciona quisiera saber lo siguiente; Si tengo una red de 100 megas con 200 clientes y le añado thundercache a mi red, ¿podría aumentar los clientes sin aumentar los megas de mi proveedor? ¿Se puede preparar un servidor thundercache para una red de 1000 clientes simultáneos? ¿Mikrotik con 3 sectoriales me podrá soportar 1000 clientes o necesitara montar mas de un conjunto de sectoriales y access point para aguantar a los 1000 clientes? Estaré agradecido por tu ayuda porque de buenos equipos dependo para hacer mi proyecto. aqui te dejo la imagen de una red de 500 clientes que creo que esta vien para inicial pero no se que RB y Balanceo usar.
https://www.facebook.com/photo.php?fbid=569627063163947&set=a.569627179830602.1073741828.100003499760751&type=1&theater

Juan Peña BeltrePublicado en12:27 am - Ago 24, 2014

Gracias Rodrigo..Si Thunderche funciona quisiera saber lo siguiente; Si tengo una red de 100 megas con 200 clientes y le añado thundercache a mi red, ¿podría aumentar los clientes sin aumentar los megas de mi proveedor? ¿Se puede preparar un servidor thundercache para una red de 1000 clientes simultáneos? ¿Mikrotik con 3 sectoriales me podrá soportar 1000 clientes o necesitara montar mas de un conjunto de sectoriales y access point para aguantar a los 1000 clientes? Estaré agradecido por tu ayuda porque de buenos equipos dependo para hacer mi proyecto. aqui te dejo la imagen de una red de 500 clientes que creo que esta vien para inicial pero no se que RB y Balanceo usar.
https://www.facebook.com/photo.php?fbid=569627063163947&set=a.569627179830602.1073741828.100003499760751&type=1&theater

Hugo CanulPublicado en12:42 pm - Sep 6, 2014

Hola Rodrigo,

Buenos días, mira recurro a ti por un consejo, he montado mi ISP en una ciudad pequeña de quintana roo, México. Durante un tiempo mi IPS funcionó a las mil maravillas pero de un tiempo para acá, ha estado funcionando raro, rechaza a usuarios y les limita la velocidad, ya les he cambiado las antenas por airgrid m5 y rechaza a los nuevos…

Y aunque tiene activo en web caché y un balanceador no mas no, ya me dio dolor de cabeza… He repasado una y otra vez tus manuales para ver si hice algo malo pero no…Inclusive he reformateado la máquina y todo pero simplemente hace lo mismo.

Juan PeñaPublicado en10:21 pm - Sep 6, 2014

Hola Hugo Canul: Me gustaría saber cuántos clientes tienes y que RB usas para administrar tú ISP porque aparentemente tu problema llego cuando aumentaste los clientes y quien maneja el ancho de banda es muchas veces el responsable de los problemas, espero tu repuesta.

Hugo canulPublicado en12:30 pm - Sep 8, 2014

Mira no tengo más de 20 clientes. Tengo un RB951Ui-2HnD balanceador dos líneas de 10Mb y un RB2011UiAS-IN como administrador pero se corta la señal.

Juan PeñaPublicado en5:02 pm - Sep 8, 2014

Hola Hugo Canul,

Lo que tienes que hacer es conectar una PC a tu RB2011UiAS-IN por medio de cable LAN para monitorear la estabilidad de tu Internet, así determina si el problema está en tus AP y Sectoriales o si está en tu administrador y balanceador. Ya que tu RB2011UiAS-IN está ubicado en el centro de tu red. 10MG x2 es más que suficiente para trabajar hasta con 50 clientes o más así que el problema es como un fallo de algún equipo de tu red.

Hugo canulPublicado en5:20 pm - Sep 8, 2014

Puede ser la verdad es que anteriormente tenia habilitado el Web Caché del Mikrotik y funcionaba de maravilla pero un rayo me destruyo todo.

Y ahora compre dos equipos nuevos y quince implementar Thundercache pero los amigos de Thunder no me responden ya tengo la licencia pero me marca error de autentificación.

Y aun no puedo ponerlo en marcha. Quizá sea el balanceo o algo que esté haciendo mal… pero he seguido los manuales al pie de la letra pero nada.

Juan PeñaPublicado en6:15 pm - Sep 8, 2014

Hola Hugo,

También puedes añadirle a tu red un servidor multimedia, hay personas que venden películas tendrá que ofrecerle algo y que te grabe cuantas películas se pueda a un disco duro y así crearte un servidor multimedia para que tus clientes se vuelvan locos reproduciendo películas y así te ahorraras mucho ancho de banda, puedes hasta tener una carpeta de estrenos y así tus clientes no se cansaran de usarlo.

Juan PeñaPublicado en6:41 pm - Sep 8, 2014

Hugo,Si Thundercache te sigue dando dolor de cabeza te hablare de algo que nadie habla y este software poderosisimo se llama pfsense , este programa es como un sistema operativo que se instala en una pc para administrar toda tu red, hace cahe al igual que thunder pero no es de pago, no necesita usar RB por que vas a ser todo con pfsense hasta balanceo si quieres todo depende de la potencia de la pc en la que instalé pfsense.

MauricioPublicado en12:15 pm - Nov 28, 2014

Muy buenos días Rodrigo,

Unas tres consultas puntuales, en realidad hace cache los sitios https? En que porcentaje mejora la velocidad con el ThunderCache?
El funcionamiento del ThunderCache gratuito cuanto mejora con la licencia original?

Hugo canulPublicado en9:39 pm - Nov 28, 2014

Tengo ahora solo 12 clientes. Quizás menos, quizá menos tengo un rb2011 como administrador y un tplink load balancer

ChristianPublicado en4:38 pm - Dic 22, 2014

Estimado Rodrigo,

Desde que Youtube cambio a https, ya no puedo cachar los vídeos en mi servidor de cache, tengo Thundercache… ¿Como puedo hacer para volver a cachear los vídeos o ya no hay solución para eso?

Nehemias Vásquez GormasPublicado en4:51 am - Ago 9, 2015

Hola Rodrigo
Para cuando estará listo el thundercache 7.2 no vi fechas en todo el texto, pero definitivamente son buenas noticias

TessaPublicado en6:46 am - May 14, 2016

Thanks for inuirdtcong a little rationality into this debate.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.