¶ Manual Técnico de Redes e Comunicações
Atualizado: Maio/2026
Requisitos de conectividade, liberações de firewall e validação para a plataforma Darwin e produtos EASi. Destinado a equipes de TI e redes.
1. Darwin - Servidores e Infraestrutura
¶ 1. Darwin - Servidores e Infraestrutura
¶ 1.1. Roteamento e NAT (Crítico)
A solução opera com sessões persistentes (WebRTC, MQTT, HTTP/3). O IP de origem não pode mudar durante a sessão, ou o servidor descarta os pacotes.
Restrições:
- Não utilizar Load Balance L4/L7, proxy intermediário, SD-WAN balanceado ou DNS round-robin para
*.easi.live - Não utilizar NAT simétrico (quebra STUN/ICE)
Comportamento esperado:
- Pacotes de uma mesma sessão devem sair pelo mesmo IP público (não exige IP fixo entre sessões - apenas consistência dentro de cada uma)
- NAT persistente (sticky): porta NAT preservada durante a sessão
- Sem mudança de rota com sessão ativa
Failover: apenas ativo-passivo. Sessões existentes precisam ser reiniciadas após troca de link.
Múltiplos caminhos ativos não são suportados. Sintomas: vídeo congelando, MQTT reconectando em ciclos curtos, API intermitente com link estável.
¶ 1.2. Portas e Domínios
| Categoria | Domínio / Endereço | Porta(s) | Transporte | Protocolo | Observação | Local |
|---|---|---|---|---|---|---|
| 🌐 Web / API | *.easi.live |
443 | TCP / UDP | HTTPS / HTTP/3 | Comunicação principal | Central / Loja |
| 🌐 Web / API | api.easi.live |
443 | TCP | HTTPS | API | Loja |
| 🖥️ Acesso Remoto | remote.easi.live |
443 | TCP | HTTPS | Acesso remoto ao servidor | Loja |
| 🎥 Vídeo | mqttv2.easi.live |
8883 | TCP | MQTT TLS | Telemetria | Central / Loja |
| 🎥 Vídeo | mqttv2.easi.live |
1883 | TCP | MQTT TLS | Compatibilidade - TLS no LB AWS (ver nota) | Central / Loja |
| 🎥 Vídeo | stun.br.easi.live |
3478 | TCP / UDP | STUN | WebRTC - vídeo ao vivo | Central / Loja |
| 🎥 Vídeo | * |
1024–65535 | UDP | RTP | WebRTC / DVR - portas dinâmicas | Central / Loja |
| 🎥 Vídeo | easilive.s3.amazonaws.com, s3-1-w.amazonaws.com |
443 | TCP | HTTPS | S3 - vídeo na nuvem (IP dinâmico) | Central / Loja |
| 🕐 NTP | ntp.easi.live, a.ntp.br |
123 | UDP | NTP | Sincronização (obrigatório) | Loja |
| 📦 Pacotes | storage.easi.live |
443 | TCP | HTTPS | CloudFront - pacotes/instaladores (IP dinâmico) | Loja |
| 📦 Pacotes | archive.ubuntu.com, security.ubuntu.com, ppa.launchpad.net |
443 | TCP | HTTPS | Updates Ubuntu | Loja |
| 🐳 Imagens Docker | hub.docker.com, registry-1.docker.io, auth.docker.io, index.docker.io, production.cloudflare.docker.com |
443 | TCP | HTTPS | Pull de imagens (obrigatório) | Loja |
| 🐳 Imagens Docker | quay.io (opcional) |
443 | TCP | HTTPS | Registry alternativo | Loja |
| 📊 Monitoramento | monitore.svc.easi.live |
10051 | TCP | Zabbix | Monitoramento | Loja |
| 🏪 PDV (interno) | PDV → Darwin (interno) | 23454 | UDP | Proprietário | Eventos PDV | Loja |
| ☎️ Telefonia | <IP Servidor Telefonia> |
80, 443, 9001 | TCP | HTTP / HTTPS | VoIP - acesso e API | Central / Loja |
| ☎️ Telefonia | <IP Servidor Telefonia> |
8222 | TCP | Proprietário | Controle de telefonia | Central / Loja |
| ☎️ Telefonia | <IP Servidor Telefonia> |
5060 | UDP | SIP | Sinalização VoIP | Central / Loja |
| ☎️ Telefonia | <IP Servidor Telefonia> |
10000–20000 | UDP | RTP | Mídia de voz | Central / Loja |
| ☎️ Telefonia | <Rede Telefones> |
80, 443 | TCP | HTTP / HTTPS | Telefones ↔ servidor | Central / Loja |
A porta 1883 do
mqttv2.easi.liveopera com TLS habilitado (terminação no LB AWS), apesar do padrão IANA defini-la como MQTT sem criptografia. Liberar como tráfego TLS.Validação:
curl -vI https://mqttv2.easi.live:1883→ handshake TLS 1.2 concluído, certificado emitido porAmazon RSA 2048 M01.
¶ 1.3. Liberação por FQDN (Obrigatório para Nuvem)
Serviços AWS (CloudFront, S3, ELB) não possuem IP fixo. A resolução DNS retorna endereços diferentes conforme região, balanceamento e disponibilidade.
Consequência: regra de firewall por IP fixo deixará de funcionar quando a AWS realocar o endereço. Isso é comportamento esperado da AWS e não indica alteração no sistema da Inwave.
Regras:
- Liberar por FQDN, nunca por IP
- Em proxy explícito, incluir FQDN na allowlist
- Não aplicar inspeção SSL/DPI em
*.easi.live(quebra WebRTC, MQTT e HTTP/3) - SD-WAN deve resolver FQDN no momento da conexão, sem cache longo
Domínios que exigem FQDN: *.easi.live, storage.easi.live, easilive.s3.amazonaws.com, s3-1-w.amazonaws.com, *.docker.io, download.docker.com, production.cloudflare.docker.com.
¶ Alternativas (uso com cautela)
Quando o firewall ou proxy não suportar liberação por wildcard/FQDN dos domínios principais, os seguintes endereços podem ser utilizados como alternativa:
| Serviço | Domínio principal (preferencial) | Alternativa |
|---|---|---|
| CloudFront | storage.easi.live |
d2tjwffk8hi2j5.cloudfront.net |
| S3 | easilive.s3.amazonaws.com |
s3-1-w.amazonaws.com |
Atenção:
s3-1-w.amazonaws.comamplia a liberação para todos os buckets S3 da AWS, não apenas os da Inwave. Avaliar impacto de segurança antes de adotar.- O domínio
d2tjwffk8hi2j5.cloudfront.netpode mudar conforme manutenção ou alteração da infraestrutura em nuvem, sem aviso prévio.- Sempre que possível, manter a liberação pelos domínios principais (
storage.easi.liveeeasilive.s3.amazonaws.com).
¶ 1.4. Validação de Conectividade
ping (ICMP) não é válido para serviços em nuvem - AWS e equipamentos intermediários frequentemente descartam ICMP, independente do estado da aplicação. Validar sempre na porta da aplicação.
¶ Comandos de teste
| Serviço | Comando | Resultado esperado |
|---|---|---|
| HTTPS | curl -v https://storage.easi.live |
Handshake TLS, resposta HTTP |
| MQTT TLS | openssl s_client -connect mqttv2.easi.live:8883 |
Certificado apresentado, conexão estabelecida |
| TCP genérico | nc -zv api.easi.live 443 |
succeeded / open |
| STUN (UDP 3478) | stunclient stun.br.easi.live 3478 |
Mapped Address retornado |
| Zabbix | nc -zv monitore.svc.easi.live 10051 |
succeeded / open |
| NTP | sntp a.ntp.br ou chronyc sources |
Offset em ms/segundos |
| Docker | docker pull hello-world |
Imagem baixada sem erro TLS |
Testes UDP com
nc -zureportam falso positivo em firewalls com drop silencioso. Usarstunclient(STUN) esntp(NTP) para validação UDP confiável.
¶ Interpretação
| Cenário | Diagnóstico |
|---|---|
ping falha + curl/nc sucesso |
Normal - ICMP bloqueado, aplicação operando |
ping sucesso + curl/nc falha |
Firewall bloqueando a porta - revisar regra por FQDN |
curl/nc falha em domínio AWS |
Provável regra antiga por IP - liberar por FQDN |
| Handshake TLS falha (cert inválido, reset) | Inspeção SSL/DPI no caminho — adicionar exceção *.easi.live |
docker pull falha com erro TLS |
Inspeção SSL na CDN Docker - adicionar exceção |
| STUN sem Mapped Address | UDP 3478 bloqueado ou NAT simétrico |
| NTP com offset alto ou sem resposta | UDP 123 bloqueado ou redirecionado |
¶ 1.5. HTTP/3 (QUIC)
Negociado automaticamente quando UDP 443 está aberto. Fallback para HTTP/2 (TCP 443) se bloqueado.
- TCP 443 — obrigatório
- UDP 443 — recomendado (HTTP/3)
- TCP 80 — redirect HTTPS
¶ 1.6. NTP — Sincronização de Horário
Pré-requisito funcional. Sem NTP, TLS, WebRTC, autenticação e auditoria falham silenciosamente.
- UDP 123 liberado (saída) para
ntp.easi.liveea.ntp.br - Não interceptar, redirecionar ou aplicar DPI em NTP
- Offset máximo aceito: 5 segundos
Sintomas de falha: erro TLS com cadeia válida, falha intermitente de login, WebRTC sem completar handshake, timestamps incoerentes nos eventos.
¶ 1.7. Telefonia (VoIP)
Requisitos:
- VLAN de telefonia habilitada nas portas onde os telefones serão conectados
- VPN site-to-site estável entre loja e servidores VoIP
Liberações via VPN site-to-site:
| Origem → Destino | Portas |
|---|---|
| Loja → Telefones | TCP 80, 443 |
| Loja → Servidores VoIP | TCP 80, 443, 8222, 9001 / UDP 5060 |
| Servidor VoIP ↔ Telefones | TCP 80, 443 / UDP 5060 / UDP 10000–20000 |
RTP usa faixa larga de UDP. SIP ALG mal configurado causa one-way audio. Configurar corretamente ou desabilitar conforme o equipamento.
¶ 1.8. Integrações Locais
| Origem → Destino | Porta | Protocolo |
|---|---|---|
| Darwin → MGV7 (balança) | 8080 | HTTP |
| MGV7 → Balança | 9000 | TCP |
| Darwin → EAS local (opcional) | 9000 | TCP |
Comunicação interna da loja. Sem liberação de internet adicional.
¶ 1.9. Banda Recomendada
| Serviço | Recomendação |
|---|---|
| MTU | 1500 |
| Vídeo Full HD | 256 Kbps por PDV |
| Vídeo HD | 128 Kbps por PDV |
| Operador | 2048 Kbps |
| VoIP | 10 Mbps + QoS |
| EAS | 25 Kbps por dispositivo |
Valores por sessão simultânea. Dimensionar conforme pico esperado.
¶ 1.10. Referências
- Checklist de validação de rede - executar com 5 dias úteis de antecedência da implantação
- Fluxo completo de comunicação de vídeo - WebRTC, STUN/TURN, NAT
2. EASi (EAS)
¶ 2. EASi (EAS)
.png)
| Domínio | Porta | Transporte | Protocolo |
|---|---|---|---|
webenable.easi.live, webenable.inwavetech.com |
9000 | TCP | Proprietário |
- Banda mínima: 25 Kbps por dispositivo
- Evitar Wi-Fi em ambientes com interferência
- Liberação por FQDN
3. EASiGuard
¶ 3. EASiGuard
| Domínio | Porta | Transporte | Protocolo |
|---|---|---|---|
*.easi.live |
443 | TCP | HTTPS |
storage.easi.live |
443 | TCP | HTTPS |
remote.easi.live |
443 | TCP | HTTPS |
mqtt.easi.live, mqttv2.easi.live |
8883 | TCP | MQTT TLS |
ntp.easi.live, a.ntp.br |
123 | UDP | NTP |
Aplicam-se as regras de FQDN e validação da seção 1.
Equipe de Apoio Darwin