Некоторое время назад у Mikrotik вышли обновления long term прошивки 6-й версии RouterOS. Первое было в мае, второе в июле. До этого более 1,5 лет не было обновлений. И при этом там почти нет значительных изменений или латания каких-то дыр. Более того, описания этих двух обновлений почти совпадают, а в датах выхода, которые видно через интерфейс роутера, вообще ошибка. Одна и та же стоит для обоих версий.
Я даже как-то раз полгода назад специально проверял, не было ли long term обновлений. Было странно, что так долго нет обновлений. Раньше они регулярно выходили. Думал, что это у меня какие-то проблемы, или доступ к серверу обновлений ограничили. Но ничего этого не было. Версия CHR у меня тоже нормально работает, лицензия активна.
С одной стороны это говорит о том, что развитие 6-й версии фактически завершено. А с другой о том, что и дыр никаких за это время обнаружено не было, так что в обновлениях не было необходимости.
Как по мне, так это отлично для сетевых устройств. Чем меньше там дыр, обновлений и нововведений, тем лучше. Настроил один раз и забыл. При этом лично мне нововведения 7-й версии не нужны. Так что все устройства Mikrotik под моим управлением до сих пор на 6-й версии. Обновлять не планирую, пока не объявят прекращение поддержки этой версии.
#mikrotik
Я даже как-то раз полгода назад специально проверял, не было ли long term обновлений. Было странно, что так долго нет обновлений. Раньше они регулярно выходили. Думал, что это у меня какие-то проблемы, или доступ к серверу обновлений ограничили. Но ничего этого не было. Версия CHR у меня тоже нормально работает, лицензия активна.
С одной стороны это говорит о том, что развитие 6-й версии фактически завершено. А с другой о том, что и дыр никаких за это время обнаружено не было, так что в обновлениях не было необходимости.
Как по мне, так это отлично для сетевых устройств. Чем меньше там дыр, обновлений и нововведений, тем лучше. Настроил один раз и забыл. При этом лично мне нововведения 7-й версии не нужны. Так что все устройства Mikrotik под моим управлением до сих пор на 6-й версии. Обновлять не планирую, пока не объявят прекращение поддержки этой версии.
#mikrotik
▶️ Посмотрел на днях видео, которое меня привлекло в первую очередь своим названием:
⇨ Голосовое управление оборудованием Mikrotik: от фантазий к реальности
Не могу сказать, что мне это было сильно интересно или полезно, но для общего развития знать не помешает, насколько сейчас продвинулись технологии голосового управления.
А подвинулись они до такой степени, что сейчас практически любой, кто умеет работать с Linux, может настроить распознавание голосовых команд и выполнять какие-то действия. Это в случае использования чьих-то наработок. Если строить свою логику, то придётся немного программировать на одном из популярных языков программирования. Bash тоже сойдёт, если что.
В выступлении автор рассказывает, как он с помощью колонки Алиса, сервиса Яндекса (если я правильно понял, то он бесплатен, если у тебя колонка) настроил выполнение некоторых команд на домашнем Mikrotik: включение гостевой wifi сети, отключение интернета детям и другие штуки.
В данном случае Микротик здесь постольку-поскольку, потому что реально выполняется подключение по SSH и выполняется заскриптованная команда. То есть это универсальный вариант запуска любых команд по SSH.
Я сам не фанат какой-то автоматизации в доме. Ничего умнее термостата тёплого пола и gsm модуля для управления котлом у меня нет. Все кнопки физические, везде протянуты провода. Я даже wifi не планирую использовать, так как у всех и так море интернета в смартфонах, а все рабочие места проводные. Пока необходимости в wifi в новом доме не возникло ни разу.
С использованием описанной технологии Яндекса вы умный дом можете себе настроить самостоятельно. Причём довольно просто. Берём колонку, некий контроллер, который можно дёргать удалёнными командами и реализуем свои фантазии. Главное, не забыть продублировать всё физически, чтобы при отсутствии интернета дом не превратился в тыкву.
#видео #mikrotik
⇨ Голосовое управление оборудованием Mikrotik: от фантазий к реальности
Не могу сказать, что мне это было сильно интересно или полезно, но для общего развития знать не помешает, насколько сейчас продвинулись технологии голосового управления.
А подвинулись они до такой степени, что сейчас практически любой, кто умеет работать с Linux, может настроить распознавание голосовых команд и выполнять какие-то действия. Это в случае использования чьих-то наработок. Если строить свою логику, то придётся немного программировать на одном из популярных языков программирования. Bash тоже сойдёт, если что.
В выступлении автор рассказывает, как он с помощью колонки Алиса, сервиса Яндекса (если я правильно понял, то он бесплатен, если у тебя колонка) настроил выполнение некоторых команд на домашнем Mikrotik: включение гостевой wifi сети, отключение интернета детям и другие штуки.
В данном случае Микротик здесь постольку-поскольку, потому что реально выполняется подключение по SSH и выполняется заскриптованная команда. То есть это универсальный вариант запуска любых команд по SSH.
Я сам не фанат какой-то автоматизации в доме. Ничего умнее термостата тёплого пола и gsm модуля для управления котлом у меня нет. Все кнопки физические, везде протянуты провода. Я даже wifi не планирую использовать, так как у всех и так море интернета в смартфонах, а все рабочие места проводные. Пока необходимости в wifi в новом доме не возникло ни разу.
С использованием описанной технологии Яндекса вы умный дом можете себе настроить самостоятельно. Причём довольно просто. Берём колонку, некий контроллер, который можно дёргать удалёнными командами и реализуем свои фантазии. Главное, не забыть продублировать всё физически, чтобы при отсутствии интернета дом не превратился в тыкву.
#видео #mikrotik
YouTube
Голосовое управление оборудованием Mikrotik: от фантазий к реальности
AsterConf'23 - конфа для спецов по Asterisk и VoIP: https://asterconf.ru
Помогаем в Telegram: https://t.me/MikTrain
На докладе вы узнаете, какие есть возможности интеграции системы умного дома Яндекс и Mikrotik, как его можно использовать, и с чего начать…
Помогаем в Telegram: https://t.me/MikTrain
На докладе вы узнаете, какие есть возможности интеграции системы умного дома Яндекс и Mikrotik, как его можно использовать, и с чего начать…
Несмотря на то, что Микротики стало сложнее купить, да и стоить они стали больше, особых альтернатив так и не просматривается. Я сам постоянно ими пользуюсь, управляю, как в личных целях, так и на работе. Мне нравятся эти устройства. Очень хочется продолжать ими пользоваться. У меня и дома, и на даче, и у родителей и много где ещё стоят Микротики.
Я когда-то писал про полезный ресурс для Mikrotik - https://buananetpbun.github.io. Там была куча скриптов, утилит, генераторов конфигов для различных настроек. Я им иногда пользовался. Там сначала дизайн поменялся, стало удобнее, появились запросы доната. На днях зашёл, смотрю, а там всё платное стало. Из открытого доступа почти всё исчезло.
Сначала решил через web.archive.org зайти, посмотреть, что там можно достать из полезного контента. Перед этим попробовал поискать по некоторым ключевым словам похожие ресурсы. И не ошибся. Сразу же нашёл копию сайта, когда он был ещё бесплатным. Так что теперь можно пользоваться им:
⇨ https://mikrotiktool.github.io
Основное там - большая структурированная база скриптов для RouterOS. Помимо прям больших и сложных скриптов, там много и простых примеров по типу блокировки сайтов с помощью блокировки DNS запросов, с помощью Layer 7, блокировка торрентов и т.д.
Помимо скриптов там есть генераторы конфигов, которые помогут выполнить настройку устройства. Например:
◽MikroTik Burst Limit Calculator - помогает рассчитать параметры burst при настройке простыл очередей.
◽Port Knocking Generator with (ping) ICMP + Packet Size - простенький генератор правил firewall для настройки Port Knocking.
◽Simple Queue Script Generator - генератор конфигурации для простых очередей.
В общем, там много всего интересного. Если настраиваете Микротики, покопайтесь. Можете найти для себя что-то полезное.
#mikrotik
Я когда-то писал про полезный ресурс для Mikrotik - https://buananetpbun.github.io. Там была куча скриптов, утилит, генераторов конфигов для различных настроек. Я им иногда пользовался. Там сначала дизайн поменялся, стало удобнее, появились запросы доната. На днях зашёл, смотрю, а там всё платное стало. Из открытого доступа почти всё исчезло.
Сначала решил через web.archive.org зайти, посмотреть, что там можно достать из полезного контента. Перед этим попробовал поискать по некоторым ключевым словам похожие ресурсы. И не ошибся. Сразу же нашёл копию сайта, когда он был ещё бесплатным. Так что теперь можно пользоваться им:
⇨ https://mikrotiktool.github.io
Основное там - большая структурированная база скриптов для RouterOS. Помимо прям больших и сложных скриптов, там много и простых примеров по типу блокировки сайтов с помощью блокировки DNS запросов, с помощью Layer 7, блокировка торрентов и т.д.
Помимо скриптов там есть генераторы конфигов, которые помогут выполнить настройку устройства. Например:
◽MikroTik Burst Limit Calculator - помогает рассчитать параметры burst при настройке простыл очередей.
◽Port Knocking Generator with (ping) ICMP + Packet Size - простенький генератор правил firewall для настройки Port Knocking.
◽Simple Queue Script Generator - генератор конфигурации для простых очередей.
В общем, там много всего интересного. Если настраиваете Микротики, покопайтесь. Можете найти для себя что-то полезное.
#mikrotik
В устройствах Mikrotik есть очень простой способ анализа любого трафика, проходящего через него. Вы можете весь или только выборочный трафик отправить в Wireshark, запущенный на любой машине. Делается это с помощью штатного инструмента, который располагается в Tools ⇨ Packet Sniffer.
Чтобы им воспользоваться, необходимо на любом компьютере в локальной сети запустить Wireshark с фильтром udp port 37008 на локальном сетевом интерфейсе. В самом Mikrotik надо открыть в указанном разделе настройки, вкладку General можно не трогать. На вкладке Streaming поставить галочку Enabled, указать IP адрес машины с Wireshark и порт 37008. На вкладке Filter можно конкретизировать, какой именно трафик будем отправлять. Если не настроить фильтр, то отправляться будет весь трафик. После настройки там же запускаем сниффер, нажав Start.
После этого идём в Wireshark и наблюдаем там весь трафик с Микротика. Очень просто, быстро и удобно. Случайно узнал об этой возможности. Сам не пользовался никогда. А трафик если надо было куда-то отправить, то отправлял через NetFlow. Но для разовых задач описанный способ проще и удобнее.
Сколько лет прошло, а по удобству и функциональности так и не появилось у Микротиков конкурентов. Даже несмотря на то, что последнее время компания выпускает не очень удачные с точки зрения удобства пользователя модели, сознательно обрезая те или иные возможности, чтобы загонять пользователей в более дорогие сегменты. Ничего лучше за те же деньги всё равно нет.
И если бы мне нужен был какой-то роутер, я бы всё равно выбирал из моделей Mikrotik. Мне они просто нравятся. Хорошо, что пока не нужны, так как цены кусаются. Из всех устройств, что я приобретал для себя или куда-то в компании, все они до сих пор успешно работают.
#mikrotik
Чтобы им воспользоваться, необходимо на любом компьютере в локальной сети запустить Wireshark с фильтром udp port 37008 на локальном сетевом интерфейсе. В самом Mikrotik надо открыть в указанном разделе настройки, вкладку General можно не трогать. На вкладке Streaming поставить галочку Enabled, указать IP адрес машины с Wireshark и порт 37008. На вкладке Filter можно конкретизировать, какой именно трафик будем отправлять. Если не настроить фильтр, то отправляться будет весь трафик. После настройки там же запускаем сниффер, нажав Start.
После этого идём в Wireshark и наблюдаем там весь трафик с Микротика. Очень просто, быстро и удобно. Случайно узнал об этой возможности. Сам не пользовался никогда. А трафик если надо было куда-то отправить, то отправлял через NetFlow. Но для разовых задач описанный способ проще и удобнее.
Сколько лет прошло, а по удобству и функциональности так и не появилось у Микротиков конкурентов. Даже несмотря на то, что последнее время компания выпускает не очень удачные с точки зрения удобства пользователя модели, сознательно обрезая те или иные возможности, чтобы загонять пользователей в более дорогие сегменты. Ничего лучше за те же деньги всё равно нет.
И если бы мне нужен был какой-то роутер, я бы всё равно выбирал из моделей Mikrotik. Мне они просто нравятся. Хорошо, что пока не нужны, так как цены кусаются. Из всех устройств, что я приобретал для себя или куда-то в компании, все они до сих пор успешно работают.
#mikrotik
Расскажу про одну историю с Микротиком, которая недавно у меня произошла. Есть небольшой филиал компании, который сидит в бизнес-центре, где до сих пор нет возможности подключить скоростной интернет по адекватной цене. Они сидят много лет на тарифе 10 Мбит/с. Для работы, в принципе, хватает. Вообще, это дикость, но я до сих пор с таким сталкиваюсь в разных местах.
Очень много лет назад туда был куплен легендарный MikroTik RB2011UIAS-2HND-IN. Такой красный, с рогами, 8-ю портами и двумя switch чипами по 4 порта на каждый. Сейчас его уже сняли с продажи и заменили более современной и мощной моделью. Этот Микротик выступал в роли шлюза, подключаясь к OpenVPN серверу. На такой ширине канала его производительности хватало за глаза.
Недавно ответственный человек оттуда сказал, что провайдер просит заменить сетевые настройки, которые он в итоге и изменил. Я обновил все списки с этим IP и закрыл тему. Дальше начались странности. В мониторинг стали прилетать алерты по ночам об очень высокой нагрузке на CPU. Сначала напрягся, подумал, не случилось ли что неладное. Этот Микрот вообще не беспокоил такими сообщениями никогда.
Полез в Zabbix и ELK смотреть графики и логи. В мониторинге увидел, что CPU улетает в потолок во время ночных бэкапов. Оттуда много информации приходится тянуть. Этот процесс длится несколько часов. В логах периодически вижу отвал VPN соединения. Думаю, что за ерунда.
Стал смотреть графики загрузки каналов. Увидел, что по OpenVPN соединению стал бегать трафик 30 Мбит/с и это потолок для данной железки. Больше она тянуть по OpenVPN не может. Судя по всему изменился тариф на более скоростной. И чтобы получить скорость по VPN выше, чем 30 Мбит/с, надо менять железку. Особой нужды в этом нет. Скорее всего ограничу скорость на интерфейсе через Simple queue. У меня есть статья по этой теме:
⇨ Ограничение скорости в Mikrotik с помощью QUEUE
Написал давно, но с тех пор в 6-й версии ROS особо ничего не менялось. Сам постоянно туда заглядываю, когда надо что-то простое настроить в QOS. Вот ещё пару ссылок по этой теме:
⇨ Централизованный сбор логов Mikrotik в ELK Stack
⇨ Мониторинг Mikrotik в Zabbix
Маршрутизаторы эти появились лет 10 назад и до сих пор благополучно работают во многих местах. Как ни крути, а Mikrotik продаёт качественное железо.
#mikrotik
Очень много лет назад туда был куплен легендарный MikroTik RB2011UIAS-2HND-IN. Такой красный, с рогами, 8-ю портами и двумя switch чипами по 4 порта на каждый. Сейчас его уже сняли с продажи и заменили более современной и мощной моделью. Этот Микротик выступал в роли шлюза, подключаясь к OpenVPN серверу. На такой ширине канала его производительности хватало за глаза.
Недавно ответственный человек оттуда сказал, что провайдер просит заменить сетевые настройки, которые он в итоге и изменил. Я обновил все списки с этим IP и закрыл тему. Дальше начались странности. В мониторинг стали прилетать алерты по ночам об очень высокой нагрузке на CPU. Сначала напрягся, подумал, не случилось ли что неладное. Этот Микрот вообще не беспокоил такими сообщениями никогда.
Полез в Zabbix и ELK смотреть графики и логи. В мониторинге увидел, что CPU улетает в потолок во время ночных бэкапов. Оттуда много информации приходится тянуть. Этот процесс длится несколько часов. В логах периодически вижу отвал VPN соединения. Думаю, что за ерунда.
Стал смотреть графики загрузки каналов. Увидел, что по OpenVPN соединению стал бегать трафик 30 Мбит/с и это потолок для данной железки. Больше она тянуть по OpenVPN не может. Судя по всему изменился тариф на более скоростной. И чтобы получить скорость по VPN выше, чем 30 Мбит/с, надо менять железку. Особой нужды в этом нет. Скорее всего ограничу скорость на интерфейсе через Simple queue. У меня есть статья по этой теме:
⇨ Ограничение скорости в Mikrotik с помощью QUEUE
Написал давно, но с тех пор в 6-й версии ROS особо ничего не менялось. Сам постоянно туда заглядываю, когда надо что-то простое настроить в QOS. Вот ещё пару ссылок по этой теме:
⇨ Централизованный сбор логов Mikrotik в ELK Stack
⇨ Мониторинг Mikrotik в Zabbix
Маршрутизаторы эти появились лет 10 назад и до сих пор благополучно работают во многих местах. Как ни крути, а Mikrotik продаёт качественное железо.
#mikrotik
Server Admin
Ограничение скорости (qos) в Микротик с помощью queues
Настройка qos в mikrotik с помощью queue на примере ограничения скорости по ip и приоритизации sip и http трафика.
Для бэкапа конфигураций Mikrotik есть простая и удобная программа от известного в узких кругах Васильева Кирилла. У него на сайте много интересных статей, рекомендую. Программа называется Pupirka.
Pupirka работает очень просто. Подключается по SSH, делает экспорт конфигурации и кладёт её рядом в папочку. Ничего особенного, но всё аккуратно организовано, с логированием, конфигами и т.д. То есть пользоваться удобно, не надо писать свои костыли на баше.
Достаточно скачать один исполняемый файл под свою систему. Поддерживаются все популярные. Пример для Linux:
Запускаем программу:
Она создаст структуру каталогов и базовый файл конфигурации:
▪️ backup - директория для бэкапов устройств
▪️ device - директория с конфигурациями устройств для подключения
▪️ keys - ssh ключи, если используются они вместо паролей
▪️ log - лог файлы для каждого устройства, которое бэкапится
▪️ pupirka.config.json - базовый файл конфигурации
Дефолтную конфигурацию можно не трогать, если будете подключаться на стандартный 22-й порт.
Вам достаточно в директорию device положить json файл с настройками подключения к устройству. Например, router.json:
Теперь можно запустить pupirka, она забэкапит это устройство:
В директории
Pupirka поддерживает хуки, так что после бэкапа конфиг можно запушить в git репозиторий. Для этого есть отдельные настройки в глобальном конфиге.
Описание программы можно посмотреть на сайте автора. В принципе, её можно использовать не только для бэкапов микротиков, но и каких-то других вещей. Команду, вывод которой она будет сохранять, можно указать в конфиге. То есть можно ходить и по серверам, собирать какую-то информацию.
Накидайте, кому не в лом, звёзд на гитхабе. Программа хоть и простая, но удобная.
#mikrotik
Pupirka работает очень просто. Подключается по SSH, делает экспорт конфигурации и кладёт её рядом в папочку. Ничего особенного, но всё аккуратно организовано, с логированием, конфигами и т.д. То есть пользоваться удобно, не надо писать свои костыли на баше.
Достаточно скачать один исполняемый файл под свою систему. Поддерживаются все популярные. Пример для Linux:
# wget https://github.com/vasilevkirill/pupirka/releases/download/v0.7/pupirka_linux_amd64# mv pupirka_linux_amd64 pupirka# chmod +x pupirkaЗапускаем программу:
# ./pupirkaОна создаст структуру каталогов и базовый файл конфигурации:
▪️ backup - директория для бэкапов устройств
▪️ device - директория с конфигурациями устройств для подключения
▪️ keys - ssh ключи, если используются они вместо паролей
▪️ log - лог файлы для каждого устройства, которое бэкапится
▪️ pupirka.config.json - базовый файл конфигурации
Дефолтную конфигурацию можно не трогать, если будете подключаться на стандартный 22-й порт.
Вам достаточно в директорию device положить json файл с настройками подключения к устройству. Например, router.json:
{ "address": "192.168.13.1", "username": "backuser", "password": "secpassw0rd"}Теперь можно запустить pupirka, она забэкапит это устройство:
zerox@T480:~/pipirka$ ./pupirkaINFO[0000] Starting....INFO[0000] Scan Devices....INFO[0000] Running Hook....INFO[0000] Running Not HookINFO[0000] Devices count 1INFO[0000] Rotate device list...INFO[0000] Create Folder ./backup/router for backupINFO[0005] Backup Start ---->WARN[0005] Starting backup router ...INFO[0008] Backup Finish <----INFO[0008] Running Hook....INFO[0008] Running Not HookВ директории
backup/router будет лежать экспорт конфигурации, а в log/router будет лог операции с ключевой фразой "Backup complete", по которой можно судить об успешности процедуры. Pupirka поддерживает хуки, так что после бэкапа конфиг можно запушить в git репозиторий. Для этого есть отдельные настройки в глобальном конфиге.
Описание программы можно посмотреть на сайте автора. В принципе, её можно использовать не только для бэкапов микротиков, но и каких-то других вещей. Команду, вывод которой она будет сохранять, можно указать в конфиге. То есть можно ходить и по серверам, собирать какую-то информацию.
Накидайте, кому не в лом, звёзд на гитхабе. Программа хоть и простая, но удобная.
#mikrotik
Ещё один пример расскажу про неочевидное использование Zabbix. Люблю эту систему мониторинга больше всех остальных именно за то, что это с одной стороны целостная система, а с другой - конструктор, из которого можно слепить всё, что угодно. Безграничный простор для построения велосипедов и костылей.
У Zabbix есть тип элемента данных - SSH Агент. Он может ходить по SSH на хосты с аутентификацией по паролю или ключу, выполнять какие-то действия и сохранять вывод. С помощью этого можно, к примеру, сохранять бэкапы Микротиков. Причём встроенные возможности Zabbix позволят без каких-то дополнительных телодвижений отбрасывать неизменившиеся настройки, чтобы не хранить одну и ту же информацию много раз. А также можно оповещать об изменениях в конфигурациях, если сохранённая ранее отличается от полученной в новой проверке.
Рассказываю, как это настроить. Создаём новый шаблон. Я всегда рекомендую использовать сразу шаблоны, не создавать айтемы и триггеры на хостах. Это неудобно и труднопереносимо. Лучше сразу делать в шаблоне. Добавляем новый айтем:
◽Тип: SSH агент
◽Ключ: ssh.run[mikrotik,10.20.1.20,22,,]
Формат этого ключа: ssh.run[description,<ip>,<port>,<encoding>,<ssh options>]
◽Тип информации: Текст
◽Метод аутентификации: Пароль (можете выбрать ключ)
◽Выполняемый скрипт:
Остальные параметры ставите по желанию. Логин и пароль лучше вынести в макросы шаблона и скрыть их, так будет удобнее и безопаснее. Я указал явно для наглядности. Переходим в этом же айтеме на вкладку Предобработка и добавляем один шаг:
◽Отбрасывать не изменившееся
Тэги добавьте по желанию. Сохраняем. Сразу добавим триггер, который сработает, если конфигурация изменилась. Параметры там выставляйте по желанию. Выражение можно сделать такое:
Сработает, если текст последней проверки будет отличаться от предыдущей.
Теперь можно прикрепить этот шаблон к хосту, который будет делать подключения и проверить. Я обычно на Zabbix Server подобную функциональность вешаю. Но это зависит от вашей конфигурации сети. Сервер должен мочь заходить по SSH на указанный в айтеме адрес.
В разделе Мониторинг -> Последние данные увидите выгрузку конфигурации своего Микротика. Единственный момент, который не понравился - добавляются лишние пустые строки. Не знаю, с чем это связано. Всё остальное проверил, конфиг нормальный. Символы не теряются. На вид рабочий.
Не знаю, насколько актуально делать бэкапы таким способом. В принципе, почему бы и нет. Тут сразу и бэкап, и мониторинг изменений в одном лице. Сам так не делал никогда. Написал эту заметку, чтобы просто продемонстрировать возможность. Вдохновился вот этой статьёй в блоге Zabbix, где они скрестили мониторинг с Oxidized:
⇨ https://blog.zabbix.com/monitoring-configuration-backups-with-zabbix-and-oxidized/28260/
Неплохой материал. Там берут json со статусами бэкапов из Oxidized и с помощью lld и jsonpath парсят его на статусы отдельных устройств.
Возвращаясь к бэкапу Микротиков. Если таки надумаете его делать, то в случае больших выгрузок увеличьте таймауты на сервере. И следите за размером бэкапов. У Zabbix вроде есть ограничение на размер текстовой записи айтема в 64KB. Если у вас конфиг будет больше, то он обрежется без каких-либо уведомлений. Ну а в общем случае всё заработает, и сбор, и триггер. Я лично проверил на своём стенде во время написания заметки.
А вообще интересна тема разных проверок с помощью Zabbix? Я могу много всяких примеров привести ещё. Что-то я уже писал раньше, что-то нет. С Zabbix постоянно работаю.
#zabbix #mikrotik
У Zabbix есть тип элемента данных - SSH Агент. Он может ходить по SSH на хосты с аутентификацией по паролю или ключу, выполнять какие-то действия и сохранять вывод. С помощью этого можно, к примеру, сохранять бэкапы Микротиков. Причём встроенные возможности Zabbix позволят без каких-то дополнительных телодвижений отбрасывать неизменившиеся настройки, чтобы не хранить одну и ту же информацию много раз. А также можно оповещать об изменениях в конфигурациях, если сохранённая ранее отличается от полученной в новой проверке.
Рассказываю, как это настроить. Создаём новый шаблон. Я всегда рекомендую использовать сразу шаблоны, не создавать айтемы и триггеры на хостах. Это неудобно и труднопереносимо. Лучше сразу делать в шаблоне. Добавляем новый айтем:
◽Тип: SSH агент
◽Ключ: ssh.run[mikrotik,10.20.1.20,22,,]
Формат этого ключа: ssh.run[description,<ip>,<port>,<encoding>,<ssh options>]
◽Тип информации: Текст
◽Метод аутентификации: Пароль (можете выбрать ключ)
◽Выполняемый скрипт:
/exportОстальные параметры ставите по желанию. Логин и пароль лучше вынести в макросы шаблона и скрыть их, так будет удобнее и безопаснее. Я указал явно для наглядности. Переходим в этом же айтеме на вкладку Предобработка и добавляем один шаг:
◽Отбрасывать не изменившееся
Тэги добавьте по желанию. Сохраняем. Сразу добавим триггер, который сработает, если конфигурация изменилась. Параметры там выставляйте по желанию. Выражение можно сделать такое:
last(/SSH Get/ssh.run[mikrotik,10.20.1.20,22,,],#1)<>last(/SSH Get/ssh.run[mikrotik,10.20.1.20,22,,],#2)Сработает, если текст последней проверки будет отличаться от предыдущей.
Теперь можно прикрепить этот шаблон к хосту, который будет делать подключения и проверить. Я обычно на Zabbix Server подобную функциональность вешаю. Но это зависит от вашей конфигурации сети. Сервер должен мочь заходить по SSH на указанный в айтеме адрес.
В разделе Мониторинг -> Последние данные увидите выгрузку конфигурации своего Микротика. Единственный момент, который не понравился - добавляются лишние пустые строки. Не знаю, с чем это связано. Всё остальное проверил, конфиг нормальный. Символы не теряются. На вид рабочий.
Не знаю, насколько актуально делать бэкапы таким способом. В принципе, почему бы и нет. Тут сразу и бэкап, и мониторинг изменений в одном лице. Сам так не делал никогда. Написал эту заметку, чтобы просто продемонстрировать возможность. Вдохновился вот этой статьёй в блоге Zabbix, где они скрестили мониторинг с Oxidized:
⇨ https://blog.zabbix.com/monitoring-configuration-backups-with-zabbix-and-oxidized/28260/
Неплохой материал. Там берут json со статусами бэкапов из Oxidized и с помощью lld и jsonpath парсят его на статусы отдельных устройств.
Возвращаясь к бэкапу Микротиков. Если таки надумаете его делать, то в случае больших выгрузок увеличьте таймауты на сервере. И следите за размером бэкапов. У Zabbix вроде есть ограничение на размер текстовой записи айтема в 64KB. Если у вас конфиг будет больше, то он обрежется без каких-либо уведомлений. Ну а в общем случае всё заработает, и сбор, и триггер. Я лично проверил на своём стенде во время написания заметки.
А вообще интересна тема разных проверок с помощью Zabbix? Я могу много всяких примеров привести ещё. Что-то я уже писал раньше, что-то нет. С Zabbix постоянно работаю.
#zabbix #mikrotik
Я смотрю, заметки с Zabbix бодро заходят, а если ещё Mikrotik или Proxmox добавить, то вообще отлично. Сегодня опять Микротики будут. Типовая задача по настройке переключения канала с основного на резервный и обратно. Плюс, там ещё поднимается VPN канал. Хочется мониторить и переключение каналов, то есть получать уведомления, если канал переключился, и состояние VPN соединения, и состояние каналов, чтобы не получилось так, что резерв уже давно не работает, а мы не знаем об этом. Плюс, если точка висит на резервном канале, то это подсвечивается триггером в дашборде Zabbix.
Я делал это на базе скриптов Mikrotik. Как это может выглядеть, отражено в моей статье про переключение провайдеров. Это один из примеров. Я эти скрипты много раз менял, дорабатывал под конкретные условия. Там может быть много нюансов. Да, переключение провайдеров можно сделать проще через динамическую маршрутизацию, но это только часть задачи. Скрипт решает не только переключение, но и логирование, плюс выполнение некоторых других задач - сброс сетевых соединений, выключение и включение VPN соединения, чтобы оно сразу переподключилось через нового провайдера и т.д.
В итоге, я через скрипты настраивал переключение канала и проверку доступности каналов. Примерно так может выглядеть проверка работы канала:
Результат работы скриптов выводился в стандартный лог Микротика. Дальше этот лог может уезжать куда-то на хранение и анализ. Например, в ELK или Rsyslog. Если мы настраиваем мониторинг через Zabbix, то выбираем rsyslog.
Zabbix Server забирает к себе все логи через стандартный айтем с типом данных лог и анализирует. Потом создаётся триггер с примерно таким выражением, если брать приведённый выше скрипт Микротика:
и восстановление:
В таком подходе есть одно неудобство. Все триггеры будут привязаны к Zabbix Server, а имя устройства видно только в описании триггера. Если вам это не подходит, придётся использовать что-то другое.
Я придумывал другую схему, чтобы триггеры о состоянии каналов были привязаны к самим устройствам, чтобы на географической карте были видны хосты с проблемами. Уже точно не помню реализацию, но вроде порты куда-то внутрь пробрасывал через разные каналы. И делал стандартные TCP проверки этих портов через Zabbix сервер. Если какой-то порт не отвечает, то канал, через который он работает, считается неработающим.
И ещё один вариант мониторинга каналов. Через каждого провайдера поднимаем разное VPN соединение и мониторим его любым способом. Можно простыми пингами, если Zabbix сервер или его прокси заведён в эти VPN сети, можно по SNMP.
Мне лично больше всего нравятся варианты с логами. Я люблю всё собирать и хранить. Логи удобно анализировать, всегда на месте исторические данные по событиям. Другое дело, что Zabbix не любит большие логи и нагружать его ими не стоит. Он всё хранит в SQL базе, а она для логов плохо подходит. Какие-то простые вещи, типа вывод работы скриптов без проблем можно заводить, а вот полноценный сбор масштабных логов с их анализом устраивать не надо.
Через анализ логов удобно слать уведомления о каких-то событиях в системных логах. Например, информировать об аутентификации в системе через анализ лог файла
#mikrotik #zabbix
Я делал это на базе скриптов Mikrotik. Как это может выглядеть, отражено в моей статье про переключение провайдеров. Это один из примеров. Я эти скрипты много раз менял, дорабатывал под конкретные условия. Там может быть много нюансов. Да, переключение провайдеров можно сделать проще через динамическую маршрутизацию, но это только часть задачи. Скрипт решает не только переключение, но и логирование, плюс выполнение некоторых других задач - сброс сетевых соединений, выключение и включение VPN соединения, чтобы оно сразу переподключилось через нового провайдера и т.д.
В итоге, я через скрипты настраивал переключение канала и проверку доступности каналов. Примерно так может выглядеть проверка работы канала:
:local PingCount 3;:local CheckIp1 77.88.8.1;:local CheckIp8 77.88.8.8;:local isp1 [/ping $CheckIp1 count=$PingCount interface="ether1"];:local isp2 [/ping $CheckIp8 count=$PingCount interface="lte1"];:if ($isp1=0) do={:log warning "MAIN Internet NOT work";} else={:log warning "MAIN Internet WORK";}:if ($isp2=0) do={:log warning "RESERV Internet NOT work";} else={:log warning "RESERV Internet WORK";}Результат работы скриптов выводился в стандартный лог Микротика. Дальше этот лог может уезжать куда-то на хранение и анализ. Например, в ELK или Rsyslog. Если мы настраиваем мониторинг через Zabbix, то выбираем rsyslog.
Zabbix Server забирает к себе все логи через стандартный айтем с типом данных лог и анализирует. Потом создаётся триггер с примерно таким выражением, если брать приведённый выше скрипт Микротика:
find(/Mikrotik logs/log[/var/log/mikrotik/mikrotik.log],#1,"like","Router-01: MAIN Internet NOT work")=1'и восстановление:
find(/Mikrotik logs/log[/var/log/mikrotik/mikrotik.log],#1,"like","Router-01: MAIN Internet WORK")=1В таком подходе есть одно неудобство. Все триггеры будут привязаны к Zabbix Server, а имя устройства видно только в описании триггера. Если вам это не подходит, придётся использовать что-то другое.
Я придумывал другую схему, чтобы триггеры о состоянии каналов были привязаны к самим устройствам, чтобы на географической карте были видны хосты с проблемами. Уже точно не помню реализацию, но вроде порты куда-то внутрь пробрасывал через разные каналы. И делал стандартные TCP проверки этих портов через Zabbix сервер. Если какой-то порт не отвечает, то канал, через который он работает, считается неработающим.
И ещё один вариант мониторинга каналов. Через каждого провайдера поднимаем разное VPN соединение и мониторим его любым способом. Можно простыми пингами, если Zabbix сервер или его прокси заведён в эти VPN сети, можно по SNMP.
Мне лично больше всего нравятся варианты с логами. Я люблю всё собирать и хранить. Логи удобно анализировать, всегда на месте исторические данные по событиям. Другое дело, что Zabbix не любит большие логи и нагружать его ими не стоит. Он всё хранит в SQL базе, а она для логов плохо подходит. Какие-то простые вещи, типа вывод работы скриптов без проблем можно заводить, а вот полноценный сбор масштабных логов с их анализом устраивать не надо.
Через анализ логов удобно слать уведомления о каких-то событиях в системных логах. Например, информировать об аутентификации в системе через анализ лог файла
/var/log/auth.log. Можно о slow логах mysql или php-fpm сообщать. Это актуально, если у вас нет другой, полноценной системы для хранения и анализа логов. #mikrotik #zabbix
Приезжал на днях в квартиру, где совершенно не работает Youtube. Всё лето живу на даче с мобильным интернетом. С замедлением ютуба не сталкивался. На мобильном он работает нормально. А в квартире мобильная связь не очень, пользоваться некомфортно, поэтому всё на проводном интернете. Без ютуба совсем грустно. В качестве роутера работает Mikrotik.
У меня уже давно есть несколько VPS заграницей. К сожалению, теперь законом запрещено делиться информацией по обходу блокировок, поэтому я не смогу вам подробно рассказать, как у меня всё устроено. Могу только дать несколько подсказок. Мне понадобился список IP адресов ютуба. Нашёл в интернете вот такой. Привожу сразу экспорт из Mikrotik, чтобы вы могли быстро его к себе добавить, если у вас устройство этого вендора:
⇨ https://disk.yandex.ru/d/RAbdhp0lAFBfOw
Я промаркировал этот список через mangle и сделал отдельный маршрут для этого маркированного списка через зарубежный VPS, к которому подключаюсь по OpenVPN. Теперь Youtube работает нормально сразу для всех домашних. Простое и удобное решение без лишних заморочек. Несмотря на то, что многие говорят, что openvpn и wireguard блокируют, у меня они пока работают нормально. Провайдер - Ростелеком.
#mikrotik
У меня уже давно есть несколько VPS заграницей. К сожалению, теперь законом запрещено делиться информацией по обходу блокировок, поэтому я не смогу вам подробно рассказать, как у меня всё устроено. Могу только дать несколько подсказок. Мне понадобился список IP адресов ютуба. Нашёл в интернете вот такой. Привожу сразу экспорт из Mikrotik, чтобы вы могли быстро его к себе добавить, если у вас устройство этого вендора:
⇨ https://disk.yandex.ru/d/RAbdhp0lAFBfOw
Я промаркировал этот список через mangle и сделал отдельный маршрут для этого маркированного списка через зарубежный VPS, к которому подключаюсь по OpenVPN. Теперь Youtube работает нормально сразу для всех домашних. Простое и удобное решение без лишних заморочек. Несмотря на то, что многие говорят, что openvpn и wireguard блокируют, у меня они пока работают нормально. Провайдер - Ростелеком.
#mikrotik
В пятницу была рассылка от Mikrotik. У них классный формат - оформляют в красивый pdf документ. Я раньше внимательно читал, переводил, вникал. Сейчас в основном пролистываю. Покупать их стало сложнее, ассортимент меньше, цены выше. Хотя сопоставимых по возможностям аналогов так и не появилось. Сам с микротиками продолжаю постоянно работать, потому что они как работали, так и работают там, где были куплены.
В новостях главным событием был выпуск новой версии утилиты Winbox 4. Вообще, это классная задумка Микротика. Всегда нравилось настраивать их устройства именно через Winbox, а не веб интерфейс. Я его всегда отключаю. Решил сразу посмотреть на новую версию.
📌 Основные нововведения Winbox 4:
◽️Поддержка трёх систем: Windows, Linux, MacOS. Наконец-то можно будет запускать утилиту на Linux нативно, без Wine.
◽️Тёмная тема. Мне лично вообще не актуально. Не понимаю, что все так носятся с этими тёмными темами. Возможно дело в том, что я всегда со светом работаю за компьютером. В темноте действительно с тёмными темами удобнее.
◽️Возможность настраивать масштаб. Не сильно критично, но полезно. Иногда на ноутах очень всё мелко, хочется увеличить.
◽️Настройка рабочих областей. Имеется ввиду набор открытых окон. Это реально удобно. Мне не хватало. Постоянно окошки открывал, закрывал, двигал под разные задачи.
◽️Изменился внешний вид. Понятное дело, что это напрашивалось. Выглядеть интерфейс стал посовременнее.
Когда увидел новость, подумал, что работать, наверное, будет только с новой версией RouterOS 7. Опасения были напрасны. Работает и с 6-й версии. Я попробовал, очень понравилось. Сразу же увеличил стандартный масштаб, чтобы было покрупнее.
Наверное ещё есть какие-тот баги, но, объективно, работать в этой утилите удобнее. Она пока ещё в статусе бета, так что пользоваться не буду. Но на вид всё стабильно. Думаю, скоро в релиз уйдёт.
#mikrotik
В новостях главным событием был выпуск новой версии утилиты Winbox 4. Вообще, это классная задумка Микротика. Всегда нравилось настраивать их устройства именно через Winbox, а не веб интерфейс. Я его всегда отключаю. Решил сразу посмотреть на новую версию.
📌 Основные нововведения Winbox 4:
◽️Поддержка трёх систем: Windows, Linux, MacOS. Наконец-то можно будет запускать утилиту на Linux нативно, без Wine.
◽️Тёмная тема. Мне лично вообще не актуально. Не понимаю, что все так носятся с этими тёмными темами. Возможно дело в том, что я всегда со светом работаю за компьютером. В темноте действительно с тёмными темами удобнее.
◽️Возможность настраивать масштаб. Не сильно критично, но полезно. Иногда на ноутах очень всё мелко, хочется увеличить.
◽️Настройка рабочих областей. Имеется ввиду набор открытых окон. Это реально удобно. Мне не хватало. Постоянно окошки открывал, закрывал, двигал под разные задачи.
◽️Изменился внешний вид. Понятное дело, что это напрашивалось. Выглядеть интерфейс стал посовременнее.
Когда увидел новость, подумал, что работать, наверное, будет только с новой версией RouterOS 7. Опасения были напрасны. Работает и с 6-й версии. Я попробовал, очень понравилось. Сразу же увеличил стандартный масштаб, чтобы было покрупнее.
Наверное ещё есть какие-тот баги, но, объективно, работать в этой утилите удобнее. Она пока ещё в статусе бета, так что пользоваться не буду. Но на вид всё стабильно. Думаю, скоро в релиз уйдёт.
#mikrotik
Решил дома обновить свой старенький Mikrotik RB951G-2HnD на более производительную и современную модель hAP ax³. Купил его на Озоне почти по номиналу согласно текущему курсу. Он стоит $139.00, я взял за 17000₽. Вроде и дороговато для роутера, так как нужды в нём большой не было. У меня несколько RB951G работают уже более 10 лет и полностью устраивают.
Решил взять hAP ax³ по нескольким причинам:
1️⃣ Надо уже потихоньку переходить на ROS7 и знакомиться с ней. Я старые устройства для избежания лишних проблем обновлять на 7-ю версию не планирую, пока будет поддерживаться 6-я.
2️⃣ Может показаться странным, но мне очень хотелось иметь возможность отключать мигание светодиодов на роутере. На старых моделях заклеивал их картонкой и скотчем. Напрягает ночью в жилых помещениях это мигание. У меня из коридора мигание было видно в спальне через матовое стекло на двери.
3️⃣ Взял именно hAP ax³, так как этот роутер наиболее мощный за эти деньги: 4 ARM ядра, 1G оперативной памяти, USB порт для внешнего хранилища. Хочу на нём пару контейнеров запустить с pi-hole и каким-нибудь reverse proxy.
4️⃣ Если будут какие-то проблемы с обходом блокировок и замедлений, опять же, контейнеры дадут более широкое поле для манёвров.
А в целом по настройкам там всё то же самое, что и на старых моделях. Кое-что изменилось, но не кардинально. Хотя WiFi без помощи интернета настроить не смог😄
Сейчас Микротики продаются с преднастроенной конфигурацией, где уже заданы пароли от учётной записи и WiFi. Причём припечатаны они прям жёстко на специальной табличке на самом роутере. С учётом того, что я первым делом сразу же удаляю конфигурацию по умолчанию, для меня это бесполезная возможность. Подумал, что после сброса, пароль админа наверное будет, как на этой табличке, но нет. По умолчанию после сброса учётка как и раньше - admin без пароля.
Роутер понравился. Внешне он довольно крупный, не ожидал. Думал, он по размеру что-то вроде RB951G, только с антеннами. Но на деле он почти в 2 раза больше. У него удобное крепление к стене через специальную площадку. Прошлые модели были без площадки, крепились напрямую через заднюю стенку. Ну и выглядит он стильно.
По долговечности Mikrotik могу сравнить только с Keenetic. Те тоже, все, что покупал, до сих пор работают уже 10+ лет. Все другие домашние роутеры типа D-Link или TP-Link выходили из строя раньше. Но они и стоили заметно меньше.
#mikrotik
Решил взять hAP ax³ по нескольким причинам:
А в целом по настройкам там всё то же самое, что и на старых моделях. Кое-что изменилось, но не кардинально. Хотя WiFi без помощи интернета настроить не смог
Сейчас Микротики продаются с преднастроенной конфигурацией, где уже заданы пароли от учётной записи и WiFi. Причём припечатаны они прям жёстко на специальной табличке на самом роутере. С учётом того, что я первым делом сразу же удаляю конфигурацию по умолчанию, для меня это бесполезная возможность. Подумал, что после сброса, пароль админа наверное будет, как на этой табличке, но нет. По умолчанию после сброса учётка как и раньше - admin без пароля.
Роутер понравился. Внешне он довольно крупный, не ожидал. Думал, он по размеру что-то вроде RB951G, только с антеннами. Но на деле он почти в 2 раза больше. У него удобное крепление к стене через специальную площадку. Прошлые модели были без площадки, крепились напрямую через заднюю стенку. Ну и выглядит он стильно.
По долговечности Mikrotik могу сравнить только с Keenetic. Те тоже, все, что покупал, до сих пор работают уже 10+ лет. Все другие домашние роутеры типа D-Link или TP-Link выходили из строя раньше. Но они и стоили заметно меньше.
#mikrotik
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
В праздники наконец-то появилась возможность поиграться с контейнерами в Mikrotik hAP ax³, который недавно приобрёл. У него, кстати, WiFi намного мощнее, чем в моём старичке RB951G-2HnD. Последний с трудом добивал до дальних частей комнат, удалённых от коридора, где он висел. Новый без проблем достаёт везде. Мне кажется, что у RB951G в какой-то момент мощность сигнала деградировала. Он уже 10+ лет в квартире трудится, но только последние год-два стал замечать, что в некоторых углах при закрытых дверях связь плохая.
В контейнере я в первую очередь хотел видеть Pi-hole, чтобы порезать некоторую рекламу у домашних пользователей интернета в виде жены и детей. Мне без надобности, так как блокировки на уровне DNS не очень удобны. Я предпочитаю у себя на компе сам всем этим управлять. А остальным всё равно. Им будет в любом случае полезно.
Особых трудностей с настройкой нет. Всё сделал по инструкции от самого производителя. Но лично я промучался в итоге долго из-за проблемной флешки, о чём узнал позднее. Взял самую маленькую, которая как затычка. Воткнул в ноут, посмотрел, вроде работает. А на деле работает с проблемами. Иногда она тупо зависала и не позволяла ничего на себя писать. Контейнер либо не запускался, либо запускался, но работал с ошибками. Логов по контейнерам в Микротике почти нет. Никаких значимых ошибок не видел. Уже потом сам догадался, что флешка глючит.
В итоге всё настроил. Можно самому Микротику указать в качестве основного DNS сервера IP адрес контейнера с Pi-Hole, но будет не очень удобно, так как во всех логах будет фигурировать один IP адрес клиента - сам Микротик. Я сделал по-другому. Пробросил в Firewall все запросы от клиентов по 53-м портам в контейнер. В итоге в админке Pi-Hole увидел IP адреса клиентов и сделал исключения для личных устройств.
В целом, всё работает нормально. Работу одного контейнера hAP ax³ тянет вообще без каких-либо напрягов. Можно ещё парочку аналогичных запустить, но мне особо ничего не нужно. Не придумал, что ещё там запускать.
Получилось удобно. Нет нужды какую-то другую железку запускать для этих задач. Микротик сам всё это тянет, работает бесшумно, не греется. Так что удобное решение, рекомендую.
❗️Удивил старый телевизор Samsung. Ему лет 15, подключен к локалке, чтобы смотреть на нём фильмы с DLNA сервера. Он больше всех DNS запросов наотправлял для резолва домена samsung com. Интересно, какие данные он туда передаёт. Надо будет закрыть ему доступ в интернет.
#mikrotik
В контейнере я в первую очередь хотел видеть Pi-hole, чтобы порезать некоторую рекламу у домашних пользователей интернета в виде жены и детей. Мне без надобности, так как блокировки на уровне DNS не очень удобны. Я предпочитаю у себя на компе сам всем этим управлять. А остальным всё равно. Им будет в любом случае полезно.
Особых трудностей с настройкой нет. Всё сделал по инструкции от самого производителя. Но лично я промучался в итоге долго из-за проблемной флешки, о чём узнал позднее. Взял самую маленькую, которая как затычка. Воткнул в ноут, посмотрел, вроде работает. А на деле работает с проблемами. Иногда она тупо зависала и не позволяла ничего на себя писать. Контейнер либо не запускался, либо запускался, но работал с ошибками. Логов по контейнерам в Микротике почти нет. Никаких значимых ошибок не видел. Уже потом сам догадался, что флешка глючит.
В итоге всё настроил. Можно самому Микротику указать в качестве основного DNS сервера IP адрес контейнера с Pi-Hole, но будет не очень удобно, так как во всех логах будет фигурировать один IP адрес клиента - сам Микротик. Я сделал по-другому. Пробросил в Firewall все запросы от клиентов по 53-м портам в контейнер. В итоге в админке Pi-Hole увидел IP адреса клиентов и сделал исключения для личных устройств.
В целом, всё работает нормально. Работу одного контейнера hAP ax³ тянет вообще без каких-либо напрягов. Можно ещё парочку аналогичных запустить, но мне особо ничего не нужно. Не придумал, что ещё там запускать.
Получилось удобно. Нет нужды какую-то другую железку запускать для этих задач. Микротик сам всё это тянет, работает бесшумно, не греется. Так что удобное решение, рекомендую.
❗️Удивил старый телевизор Samsung. Ему лет 15, подключен к локалке, чтобы смотреть на нём фильмы с DLNA сервера. Он больше всех DNS запросов наотправлял для резолва домена samsung com. Интересно, какие данные он туда передаёт. Надо будет закрыть ему доступ в интернет.
#mikrotik
Вчера была рассылка от Mikrotik. Я последнее время их игнорирую, так как продукция явно потеряла былую популярность в России в первую очередь из-за цен. Хотя близких аналогов нет, всё равно Микротики уже не так популярны. Но мимо вчерашней новости не смог пройти мимо, потому что она меня удивила.
Компания выпустила свой сервер - RouterOS enterprise Data Server со следующими характеристиками:
◽️20 слотов под U.2 NVMe диски, с поддежкой M.2
◽️сетевые порты: 2×100G QSFP28, 4×25G SFP28, 4×10G SFP+, 2×10G Ethernet
◽️16-core 2 GHz ARM CPU + 32GB DDR4 RAM
Внутри, как и ожидается – RouterOS в редакции Special ROSE edition с поддержкой в том числе технологии NVMe-TCP для экспорта дисков другим серверам. Это помимо традиционных SMB, NFS, iSCSI.
Компания позиционирует свой сервер как очень быстрое локальное хранилище под нагрузку, запущенную в контейнерах, которые RouterOS 7 поддерживает уже сейчас. В описании явно указаны примеры применения: MinIO, Nextcloud, Shinobi, Frigate и другие.
Неожиданная новинка. Цена всего $1950, что намекает на сегмент малого и среднего бизнеса. И при этом такие скорости, которые там особо не нужны.
Что думаете по поводу этих серверов? Мне кажется, зря они в сервера подались. Лучше бы на сетевых устройствах сконцентрировались, починили баги RouterOS 7, запустили бы наконец Long Term ветку. Представляю, сколько вылезет багов в системе на этом сервере, особенно в работе контейнеров под нагрузкой. Там инструментов для диагностики почти нет, работать с ними неудобно. Я бы не стал.
#mikrotik
Компания выпустила свой сервер - RouterOS enterprise Data Server со следующими характеристиками:
◽️20 слотов под U.2 NVMe диски, с поддежкой M.2
◽️сетевые порты: 2×100G QSFP28, 4×25G SFP28, 4×10G SFP+, 2×10G Ethernet
◽️16-core 2 GHz ARM CPU + 32GB DDR4 RAM
Внутри, как и ожидается – RouterOS в редакции Special ROSE edition с поддержкой в том числе технологии NVMe-TCP для экспорта дисков другим серверам. Это помимо традиционных SMB, NFS, iSCSI.
Компания позиционирует свой сервер как очень быстрое локальное хранилище под нагрузку, запущенную в контейнерах, которые RouterOS 7 поддерживает уже сейчас. В описании явно указаны примеры применения: MinIO, Nextcloud, Shinobi, Frigate и другие.
Неожиданная новинка. Цена всего $1950, что намекает на сегмент малого и среднего бизнеса. И при этом такие скорости, которые там особо не нужны.
Что думаете по поводу этих серверов? Мне кажется, зря они в сервера подались. Лучше бы на сетевых устройствах сконцентрировались, починили баги RouterOS 7, запустили бы наконец Long Term ветку. Представляю, сколько вылезет багов в системе на этом сервере, особенно в работе контейнеров под нагрузкой. Там инструментов для диагностики почти нет, работать с ними неудобно. Я бы не стал.
#mikrotik
Расскажу старую историю про взлом Микротика, который я лично наблюдал. Публиковал её давно, когда на канале было в разы меньше читателей, так что большинство из тех, кто читает канал сейчас, её не видели. А история показательная и поучительная.
Ко мне обратился знакомый с просьбой помочь разгрести последствия взлома локальной сети. Я у него администрировал сервера в ЦОД, а к локалке не имел никакого отношения. Расскажу кратко то, что узнал сам.
На входе стоит Mikrotik, в который воткнут usb модем провайдера сотовой сети. Интернет заходит через него. На Микротике был обнаружен VPN канал злоумышленника. С его помощью он закрепился в локальной сети и изучал ее.
Проблемы заметили со стороны ip телефонии. Позвонил провайдер и предупредил, что звонки заблокированы, так как израсходован дневной лимит. Это позволило сразу обнаружить взлом, который был осуществлен в выходной день. При этом было настроено ограничение по IP на подключения к облачной АТС. Считается, что это самая надежная защита, так как физически невозможно осуществить звонок извне, даже если утекают учётные данные пиров. По факту это не спасло, так как через VPN канал это ограничение обошли. Повезло, что был дневной лимит.
Дальше были обнаружены попытки аутентификации на других устройствах в сети. На вид ничего особо не пострадало, так как в локалке ничего кроме компьютеров, оргтехники и VOIP телефонов не было. Все сервера располагались в другом месте и судя по всему не были обнаружены, а пользовательские компьютеры все были выключены. Поэтому и не получилось их найти.
Это все подробности, что стали известны мне. Как произошел взлом Микротика, точно не известно. Его сразу же перенастроили и закрыли все доступы извне. Там либо пароль был простой, либо обновлений не стояло. Думаю, сломали стандартно, через уязвимость и доступ через Winbox. Он был доступен. А там время от времени всплывают уязвимости. Может и сейчас есть, но мы их пока не знаем.
Отсюда можно сделать несколько закономерных выводов:
1️⃣ Доступ к пограничным роутерам запрещать максимально сильно. Лучше снаружи вообще всё закрыть. Если всё же нужно оставить доступ, то настройте хотя бы Port knocking или доступ по спискам IP. Касательно Микротик, надо дополнительно отключить все способы удалённого подключения, которые вы не используете (FTP, SSH и т.д.).
2️⃣ Сервера изолировать от всего остального. Я не всегда следую этому правилу 😔.
3️⃣ На выходные компьютеры в офисе выключать.
4️⃣ Использовать дневной лимит на звонки через VOIP телефонию, если оператор поддерживает. Меня, кстати, не раз выручала эта история. Были инциденты. Вроде даже писал об этом. Надо будет поискать эти старые публикации и повторить. Уже и сам подзабыл подробности.
5️⃣ Всегда и везде своевременно ставить обновления.
Так то много всего надо делать для обеспечения безопасности, но это прям самая база, которая закрывает большинство проблем.
#mikrotik
Ко мне обратился знакомый с просьбой помочь разгрести последствия взлома локальной сети. Я у него администрировал сервера в ЦОД, а к локалке не имел никакого отношения. Расскажу кратко то, что узнал сам.
На входе стоит Mikrotik, в который воткнут usb модем провайдера сотовой сети. Интернет заходит через него. На Микротике был обнаружен VPN канал злоумышленника. С его помощью он закрепился в локальной сети и изучал ее.
Проблемы заметили со стороны ip телефонии. Позвонил провайдер и предупредил, что звонки заблокированы, так как израсходован дневной лимит. Это позволило сразу обнаружить взлом, который был осуществлен в выходной день. При этом было настроено ограничение по IP на подключения к облачной АТС. Считается, что это самая надежная защита, так как физически невозможно осуществить звонок извне, даже если утекают учётные данные пиров. По факту это не спасло, так как через VPN канал это ограничение обошли. Повезло, что был дневной лимит.
Дальше были обнаружены попытки аутентификации на других устройствах в сети. На вид ничего особо не пострадало, так как в локалке ничего кроме компьютеров, оргтехники и VOIP телефонов не было. Все сервера располагались в другом месте и судя по всему не были обнаружены, а пользовательские компьютеры все были выключены. Поэтому и не получилось их найти.
Это все подробности, что стали известны мне. Как произошел взлом Микротика, точно не известно. Его сразу же перенастроили и закрыли все доступы извне. Там либо пароль был простой, либо обновлений не стояло. Думаю, сломали стандартно, через уязвимость и доступ через Winbox. Он был доступен. А там время от времени всплывают уязвимости. Может и сейчас есть, но мы их пока не знаем.
Отсюда можно сделать несколько закономерных выводов:
Так то много всего надо делать для обеспечения безопасности, но это прям самая база, которая закрывает большинство проблем.
#mikrotik
Please open Telegram to view this post
VIEW IN TELEGRAM
В пятницу рассказал про реальный случай взлома Микротика. Имеет смысл дополнить ту заметку информацией о том, как защитить свой роутер от подобных историй. Я не буду составлять полную подборку настроек, так как их любой ИИ сейчас бесплатно составит за 5 секунд. Расскажу, что лично я обычно делаю. Не всегда и не везде весь предложенный список, а в каких-то вариациях.
1️⃣ System ⇨ Users, отключаю или удаляю админа, добавляю нового пользователя с полными правами.
2️⃣ IP ⇨ Services, отключаю всё, кроме ssh и winbox. Ограничение доступа через параметр Aviable From в этом разделе не настраиваю. Предпочитаю все настройки по ограничению доступа делать в Firewall.
3️⃣ System ⇨ Logging, настраиваю отправку логов куда-то вовне, если инфраструктура предполагает такой сервис. Обычно это Syslog или ELK.
4️⃣ IP ⇨ Firewall, тут зависит от функциональности роутера, но что касается доступа извне, то закрываю либо статическим списком IP адресов, либо настраиваю Port knocking. Даже если настроен VPN, всегда страхую доступ извне каким-то ещё входом, не только по VPN.
5️⃣ Настраиваю мониторинг стандартным шаблоном Zabbix. Но сразу скажу, что не очень его люблю. Не потому, что он сделан плохо, а просто там много информации и триггеров, которые мне не нужны. Потом много спама прилетает, приходится править или отключать какие-то триггеры.
6️⃣ Знаю, что некоторые ещё отключают прямой доступ по MAC адресу в Tools ⇨ MAC Server ⇨ MAC WinBox Server, но я обычно оставляю.
В целом по безопасности у меня всё. Если есть чем ещё дополнить из вашей практики, поделитесь информацией.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
#mikrotik
1️⃣ System ⇨ Users, отключаю или удаляю админа, добавляю нового пользователя с полными правами.
2️⃣ IP ⇨ Services, отключаю всё, кроме ssh и winbox. Ограничение доступа через параметр Aviable From в этом разделе не настраиваю. Предпочитаю все настройки по ограничению доступа делать в Firewall.
3️⃣ System ⇨ Logging, настраиваю отправку логов куда-то вовне, если инфраструктура предполагает такой сервис. Обычно это Syslog или ELK.
4️⃣ IP ⇨ Firewall, тут зависит от функциональности роутера, но что касается доступа извне, то закрываю либо статическим списком IP адресов, либо настраиваю Port knocking. Даже если настроен VPN, всегда страхую доступ извне каким-то ещё входом, не только по VPN.
5️⃣ Настраиваю мониторинг стандартным шаблоном Zabbix. Но сразу скажу, что не очень его люблю. Не потому, что он сделан плохо, а просто там много информации и триггеров, которые мне не нужны. Потом много спама прилетает, приходится править или отключать какие-то триггеры.
6️⃣ Знаю, что некоторые ещё отключают прямой доступ по MAC адресу в Tools ⇨ MAC Server ⇨ MAC WinBox Server, но я обычно оставляю.
В целом по безопасности у меня всё. Если есть чем ещё дополнить из вашей практики, поделитесь информацией.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
#mikrotik
Telegram
ServerAdmin.ru
Расскажу старую историю про взлом Микротика, который я лично наблюдал. Публиковал её давно, когда на канале было в разы меньше читателей, так что большинство из тех, кто читает канал сейчас, её не видели. А история показательная и поучительная.
Ко мне обратился…
Ко мне обратился…