ServerAdmin.ru
28.9K subscribers
303 photos
35 videos
13 files
2.63K links
Авторская информация о системном администрировании.

Информация о рекламе: @srv_admin_reklama_bot
Автор: @zeroxzed

Второй канал: @srv_admin_live
Сайт: serveradmin.ru
Download Telegram
​​MikroTik Newsletter Апрель 2022

Основная новость для нас - Mikrotik отозвал все тренерские сертификаты из РФ, остановил программу обучения и официально прекратил поставки оборудования. Тем не менее, в продаже оно есть и скоро на канале будет реклама поставщиков этого оборудования. Законы капитализма нерушимы - деньги превыше всего. Пожалуй сейчас это единственная ситуация, когда данный принцип я могу оценить положительно.

Остальные новости вендора:

Новая модель свитча CRS504-4XQ-IN за $799. Особенности: 2 hot-swap блока питания, 4х100 gigabit QSFP28 порта!!! Обзор на Youtube. Я думал такие скорости стоят значительно дороже, а оказывается 100 гигабит можно за 800 баксов заиметь.

Новый уличный топовый LTE модем LHG LTE18 kit за $279. Пригодится там, где очень слабый сигнал и обычными устройствами он не ловится. Питаться может через PoE-in, связь через Gigabit Ethernet порт. Внутри dual-core ARM CPU, так что если сигнал хороший, то модем может агрегировать каналы и выдавать скорость LTE соединения до одного гигабита в секунду. Обзор на Youtube.

Новый маршрутизатор CCR2004-16G-2S+PC за $465. Особенности: 16xGigabit Ethernet портов (по 8 на каждый switch чип), 2x10G SFP+ портов, 4-х ядерный процессор, консольный порт RG-45, пассивное охлаждение!. Устройство позиционируется как бесшумный роутер для установки прямо в офисе или дома (для богатеньких 😎). Обзор на Youtube.

Вышла RouterOS v7.2 Stable. "Remember to keep your devices updated for the best performance and maximum security!" Все обновились? 😄

Там ещё новые вентиляторы и крепления вышли, но это не так интересно. Отдельно стоит упомянуть, что Mikrotik обновил логотип. Новый в прикреплённом изображении ниже. Побуду занудой, но мне старый нравится больше. А вам как?

Newsletter PDF

#mikrotik
❗️Уже советовал вам канал MikroTik сэнсэй - https://t.me/mikrotik_sensei, когда он только появилась. Его ведёт известный тренер Mikrotik и практикующий инженер Дмитрий Скоромнов.

Прошло более полугода с момента открытия канала, на который я сам подписан и постоянно читаю, так что могу его смело рекомендовать. Все посты авторские с уникальной информацией, которой зачастую нет в открытых источниках. Встречаются некоторые вещи, которых нет и в официальной документации.

Примеры постов:
Почему устройства Mikritk очень популярны
Возможна ли удалённая блокировка устройств Mikrotik в связи с санкциями?
Маршрутизатор умер, Netinstall не помогает (3 части)

На текущий момент на канале собрана самая большая русскоязычная аудитория по тематике оборудования Mikrotik. Каждый пост продуман, выверен и информативен. Отсюда большой отклик аудитории. В комментариях автор общается, отвечает на вопросы. Присоединяйтесь!

#реклама #mikrotik
▶️ На канале Артема Матяшова вышло новое видео - Пишем код на маршрутизаторе MikroTik. Ранее я уже упоминал этот канал. Можно смело подписываться, там все видео очень качественные и информативные.

В этом ролике речь идёт не только о Mikrotik. Артём рассказывает, как он автоматизировал управление светом на кухне с помощью API платформы умного дома от Ynadex и роутера Mikrotik. Он там прям много всего накодил в RouterOS.

В видео дана вся теория и полная реализация. Можно взять и повторить. Мне было интересно посмотреть. В голове постоянно крутятся мысли по автоматизации дома, но пока не доходят руки для реализации. Есть более насущные задачи.

У меня тоже есть в доме некоторая автоматизация с помощью Микротика 😄 Каждое утро он запускает медиасервер с помощью WOL. Свои тестовые сервера я тоже запускают по WOL, но в ручном режиме, когда это необходимо. К Mikrotik организован ограниченный доступ извне.

#видео
​​От компании Mikrotik давно не было новостей и новинок. Последняя рассылка была в апреле. Недавно выпустили очередной Newsletter, пометив его июльским. Там есть несколько интересных новинок, о которых расскажу.

Перед этим хочу поделиться информацией на тему покупки новых устройств. Было же объявлено, что компания Mikrotik прекращает продажу своего оборудования в РФ. На практике каких-то особых проблем с приобретением не возникло. В настоящий момент бюджетные микротики для дома можно купить в популярных сетевых магазинах типа dns, citilink или ozone. В наличие наиболее ходовые устройства есть. Менее популярные модели можно поискать на Avito или заказать на Aliexpress. Там тоже много всего в наличии. Те, кому нужны более крупные корпоративные закупки, пользуются услугами поставщиков, которые завозят устройства через Казахстан.

Теперь к новинкам:
Chateau LTE6-US - новая точка доступа для дома на основе WAN интерфейса через LTE. На борту мощный процессор, 5 гигабитных сетевых интерфейсов и современный LTE модем. Мне как раз домой такая штука пригодилась бы прямо сейчас. Но судя по описанию, этот продукт предназначен для рынка США. При этом по характеристикам он очень похож на Chateau 5G, но стоит в 2,5 раза дешевле. Не понял, почему так. Видеообзор.

RB5009UPr+S+IN - необычный девайс с пассивным охлаждением и PoE-in & PoE-out на всех 8-ми Ethernet портах. Имеет пассивное охлаждение и может быть смонтирован в стойку в количестве 4-х штук на 1U. То есть это операторское решение. Питаться может от трех разных источников одновременно: 2-pin коннектор на 48V, обычный блок питания через jack на 24V и через PoE-In на 57V. Если я правильно понял из описания, эта штука в первую очередь заточена на питание свитчей в стойках. Это её основное назначение. Видеообзор.

CSS610-8P-2S+IN - популярный формат свитчей из среднего ценового сегмента. Служит для подключения и питания различных сетевых устройств по стандарту 802.3af/at PoE-out. Имеет 8 гигабитных портов и 2 SFP+. Добротный POE свитч с управлением на базе SwitchOS Lite. Видеообзор.

CRS518-16XS-2XQ-RM - операторский свитч из высокого ценового сегмента. На борту 2 ❗️100G QSFP28 ports и 16 25G SFP28 ports. Видеообзор.

Я по прежнему остаюсь на 6-й версии RouterOS. Для 7-й ветки стала типичной картинка, когда выходит новая версия и через день сразу же к ней обновление. Какой-то стабильности и надежности в этой ветке до сих пор не видно. Так что пока жду.

Рассылка в виде pdf

#mikrotik
​​У меня было много заметок на тему бэкапа данных и ни одной за всё время существования канала на тему бэкапа настроек сетевых устройств. А тема-то важная. Настраивать какой-нибудь роутер с нуля с кучей правил firewall, qos, vpn и так далее та ещё морока. Потеря конфигурации обычно не фатальна, но очень неприятна.

Существует популярный Open Source продукт для бэкапа сетевых устройств - Oxidized. О нём рассказывали еще в 2017 году на MUM Russia (MikroTik User Meeting). Ссылка на презентацию. Как вы понимаете, Микротики он тоже бэкапит. Так что тема серьезная 😎. Список поддерживаемых устройств внушительный. Всё популярное присутствует, даже Eltex есть.

Oxidized написан на Ruby. Установка простая и типовая для Unix систем. Ставим сначала ruby, а потом через gem install всё остальное. Есть docker контейнер с примером файла docker-compose.yaml. Не буду сюда копировать, в репозитории всё описано прямо на главной. Искать не надо.

Oxidized состоит в виде службы, которая по ssh или telnet ходит на устройства и собирает конфигурации, и веб интерфейса для просмотра и управления всем этим делом. Хранить конфигурации программа умеет в том числе в GIT репозитории. Это позволяет удобно просматривать изменения между разными версиями конфигураций. Веб интерфейс очень простой (список устройств и конфигурации к ним), аутентификации нет, так что надо хотя бы за прокси ставить с basic auth.

Продукт старый и известный, так что настройка не будет представлять каких-то сложностей. В сети масса руководств по этой теме. Я знал аналог этой программы, написанный русскоязычными программистами в 2018 году - cBackup. У них была обзорная статья на хабре в то время. Программа функциональная, удобная, внешний вид хороший. Можете сами оценить на сайте. К сожалению, развития так и не получила и на текущий момент она устарела и есть проблемы с микротиками, начиная с какого-то обновления. Подключения по SSH не работают, бэкапы не делаются. Жаль, что продукт не получил развития. Я хотел его попробовать, но увидел, что обновлений нет, так что это не имеет смысла, даже если получится запустить.

А вы что используете для бэкапа сетевых устройств? Вариантов может быть масса, начиная от готовых больших систем (NOC Project) и заканчивая банальными скриптами с отправкой конфигураций на почту или заливкой на ftp.

❗️Чуть не забыл упомянуть, что Oxidized поддерживает интеграцию с известной системой мониторинга LibreNMS. С помощью этой интеграции сможете просматривать конфигурации устройств прямо в мониторинге. Подробности интеграции в руководстве LibreNMS.

Исходники - https://github.com/ytti/oxidized

#backup #network #mikrotik
▶️ На прошлой неделе делал подборку бесплатных обучающих материалов и обратил внимание, что нет вообще ничего на тему Mikrotik. Ни разу не попадалось никаких курсов в свободном доступе по этой теме. Решил поискать в интернете специально, но так ничего похожего на какой-то целостный курс или набор материалов не увидел. Делюсь тем, что нашёл.

🟢 Официальный канал Mikrotik. Там очень много видео, так что найти что-то по настройке не так просто. Надо сразу перейти в плейлисты и выбрать MikroTips. Это как раз обучающие видео по конкретной настройке какого-то функционала. Там же есть плейлисты со всех MUM. Это хоть и не инструкции, но всё равно хороший и качественный материал по теории настройки.

🟢 Канал сертифицированного тренера Романа Козлова - Mikrotik Training. Этот канал мне уже знаком. Смотрел в прошлом несколько вебинаров по интересующим меня темам. Сразу вспомнил вот этот - Передача маршрутов удаленным VPN-клиентам. Автор востребованные темы рассматривает, подробно описывая настройку. Есть чему поучиться.

🟢 Канал сертифицированного тренера Дмитрия Скоромнова
- курсы-по-ит.рф. Я знаю его лично и проходил очное обучение. На канале только отдельные уроки с его платных курсов. Каждый урок рассматривает какую-то узкую тему. Где-то только теория, где-то практика с настройкой устройства. Самих уроков выложено много.

🟢 На англоязычном канале The Network Berg есть полный курс подготовки к MTCNA, который, кстати, тоже проходит на английском языке. Там же в плейлистах советую обратить внимание на лист MTCNA - EVE-NG Setup. Там рассказывается, как развернуть тестовую лабу с микротиками на EVE-NG.

🟢 Также нашёл репозиторий на Github, где представлены русскоязычные материалы по основным темам из MTCNA на русском языке в текстовом виде.

Больше чего-то более ли менее целостного и похожего на обучение по Микротик я не нашёл. Если у вас есть что-то на примете, то поделитесь информацией.

#обучение #mikrotik
Хочу с вами посоветоваться по поводу решения одной задачи на тему Mikrotik и его мониторинга. Решение уже придумал и на стенде реализовал. Но может вы посоветуете что-то другое, что мне просто в голову не пришло.

Задача - настроить резервирование каналов на Mikrotik из двух провайдеров. Настроить мониторинг наличия интернета на каждом канале и оповещать о переключениях с основного канала на резерв и обратно. Устройств таких будет много.

Я долго прикидывал, как лучше сделать и решил вот так. Переключение каналов реализовал скриптом. Я много раз это делал, вполне надёжное и рабочее решение. Когда я упоминаю об этом, мне постоянно пишут, типа зачем тут скрипт, можно по-другому и т.д. Да, я знаю. Но мне нужно после переключения сбросить некоторые соединения, переподключить сразу VPN (гашу и поднимаю интерфейс) и настроить мониторинг этого дела. Скриптом проще всего.

Все логи Микротиков улетают на централизованный Syslog сервер, где стоит Zabbix. Он парсит лог и при обнаружении определённой строки в логе, которую пишет скрипт, понимает, что канал переключился. Триггер висит активным всё время, пока канал резервный. При переключении обратно триггер гаснет. Минус тут один. Так как лог парсит Zabbix Server, сработанный триггер висит на нём. Все Микротики добавлены на GEO карту, их неплохо было бы подсветить красным, когда нет основного интернета, но в данном случае не знаю, как это сделать.

Долго думал над тем, как реализовать проверку наличия интернета на каналах. Самое простое, что приходит в голову - пинговать внешние IP адреса. Почти на всех каналах они есть. Но показалось не очень надёжным решением. Иногда используются LTE модемы, где пинги извне заблокированы и это не настраивается. Иногда внешнего IP нет.

В итоге тоже реализовал скриптом. Просто раз в минуту запускаю скрипт с пингом публичных DNS адресов Яндекса через разные интерфейсы разных провайдеров. Результат пишу в лог, который улетает на сервер и там анализируется Zabbix.

Собрал всё это на стенде, погонял. Работает надёжно и стабильно. Меня ещё просили настроить мониторинг канала в интернет, так как бывает, что LTE сигнал через какое-то время очень сильно ухудшается. Когда происходит на него переключение, работать нереально. Тоже долго думал над этой задачей. Опять же, можно реализовать скриптом, но нужен какой-то один публичный Микротик, где будет запущен его встроенный сервер теста скорости. К нему можно подключаться скриптом, результат выводить в лог и анализировать. Других вариантов в голову не приходит.

#mikrotik #zabbix
​​В марте этого года Microsoft выпустила необычный продукт - бесплатный Open Source сканнер заражения RouterOS (Mikrotik) RouterOS Scanner. Он выполняет следующие проверки на устройствах:
версию системы и наличие CVE под неё
наличие запланированных задач
наличие правил переадресации трафика
наличие статических DNS записей в кэше
изменение стандартных портов у системных служб
наличие дополнительных пользователей
наличие подозрительных файлов на устройстве
наличие настроенных прокси

Как происходит типовое заражение Микротиков и почему выбраны именно эти проверки, подробно объясняется в блоге Microsoft.

Routeros scanner написан на Python и запускается просто:
# python3 main.py -i 192.168.88.1 -p 22 -u admin -ps pAsSw0rd
Перед этим, соответственно, надо склонировать репозиторий и установить зависимости:
# git clone https://github.com/microsoft/routeros-scanner
# pip install -r requirements.txt

При желании в цикле bash можно перебрать множество устройств, записанных в текстовый файл. В выводе будут отмечены как непосредственно проблемы, так и советы по настройке конкретного устройства.

Инструмент неплохой и кто бы что не думал о Microsoft, в целом это крупная компания, которая создала массу хороших продуктов или небольших утилит (calc.exe 😁, пользуюсь постоянно). Я себе поставил в WSL, мало ли, пригодится.

Прогнал через один из своих роутеров, получил совет изменить стандартный порт ssh 22 на какой-то другой. А ещё говорят, что это пустая затея. Сам я тоже чаще всего меняю, так как на нестандартный спам запросов всегда меньше. Но в общем случае, ssh порт и всё остальное всегда скрыто от общего доступа.

Исходники - https://github.com/microsoft/routeros-scanner

#mikrotik
​​Расскажу про технологию, которую возможно не все знают. Речь пойдёт про port knocking, который я иногда использую. Это очень простой способ защитить подключение к какому-то сервису через интернет.

Суть метода в том, что разрешающее правило на firewall создаётся после поступления определённой последовательности пакетов. Чаще всего в качестве такой последовательности выбирают icmp пакеты определённой длины. Но совсем не обязательно ограничиваться только этим. Тут можно придумать любую последовательность и использовать различные порты, протоколы, tcp флаги и т.д.

Вот простейший пример реализации port knocking на Mikrotik.

add action=add-src-to-address-list \
address-list=winbox_remote \
address-list-timeout=30m \
chain=input comment="icmp port knocking" \
in-interface=ether1-wan packet-size=144 protocol=icmp

Создаём правило в firewall, которое будет на 30 минут добавлять в список winbox_remote все ip, откуда придёт пакет размером 144 байта по протоколу icmp.

Теперь разрешим всем ip адресам из этого списка подключаться по winbox:

add action=accept chain=input \
comment="accept winbox_remote" \
dst-port=8291 in-interface=ether1-wan \
protocol=tcp src-address-list=winbox_remote

Важно поставить эти два правила выше блокирующего правила для input. Теперь достаточно выполнить с любого устройства ping:

ping 1.2.3.4 -l 116 -n 1
(размер пакета ставим 116, потому что 28 байт добавит заголовок)

И роутер откроет доступ к tcp порту 8291, чтобы можно было подключиться по winbox. Через 30 минут адрес будет удалён из списка и новое подключение будет сделать невозможно. По такому же принципу, можно сделать и закрывающее правило. Поработали, отправили определённую последовательность и очистили список winbox_remote.

Таким простым и нехитрым способом можно очень надёжно прикрыть какой-то сервис. Например, тот же rdp. Достаточно настроить port knocking на шлюзе, а пользователю дать батник, который будет сначала пинговать, а потом подключаться. Причём можно использовать более сложную последовательность действий из нескольких шагов. Подобный пример описан в статье. Я его реально применяю очень давно.

В Linux реализацию port knocking тоже настроить не сложно. Есть готовый софт для этого. Например, knockd. При желании, можно и вручную написать правила для iptables, если хорошо разбираетесь в них. Реализаций может быть тоже великое множество, в том числе с использованием списков ipset или более современных nftables. Тема легко гуглится и решается.

#mikrotik #security #gateway
Я долго это терпел, но не выдержал. Надоело то, что не грузятся аватарки в youtube. Для всех других сайтов обходился редким включением VPN, так как не часто хожу по запрещёнке. Но ютубом пользуюсь каждый день.

В итоге настроил:
 OpenVPN сервер на американском VPS.
 Подключил его к домашнему Микротику.
 Создал Address List со списком доменов, запросы к которым хочу заворачивать в VPN туннель.
 Промаркировал все запросы к этому списку.
 Настроил в routes маршрут через OpenVPN туннель для всех промаркированных запросов.

И о чудо, спустя почти год я постоянно вижу все картинки с ютуба.

Подробно весь процесс настройки показан вот в этом видео:

Wireguard + Mikrotik. Частичное перенаправление трафика
https://www.youtube.com/watch?v=RA8mICgGcs0

Единственное отличие — у автора уже RouterOS 7 и настроен WireGuard. Мне пока не хочется экспериментов с 7-й версией, поэтому я до сих пор везде использую 6-ю. А там поддержки WG нет, поэтому подключаюсь по OpenVPN.

#vpn #mikrotik