Comments 100
Могли бы просто сказать что необходимо присутствие техника на точке и прокатится в чисто поле, прогуляться и подзаработать.
Хм! Из СПб в чисто поле где-то под Томском?
Не проблема нанять аватара из местных на час.
Вообще, весь текст высер вымысел школьника, впервые раздавшего вайвай товарищу по парте.
Возможно проблема что в пятницу вечером узнают что с понедельника все по новому и при этом физически железо в помещении ключи к которому у человека который уже свалил?
Вообще с таким сетапом выглядит логичным заранее воткнуть в порт микротика (ну там ж не самый дешевый микротик) https://mikrotik.ru/katalog/katalog/components/wifi_adapters/woobm и рядом положить rPI какую то с сотовым модемом и настроенным через него удаленным доступом (недо-IP-KVM Mikrotik Edition :))
woobm и рядом положить rPI какую то с сотовым модемом и настроенным через него удаленным доступом (недо-IP-KVM Mikrotik Edition :))
А не проще ли этот самый модем воткнуть непосредственно в микротик, отключить для него автоматическое поднятие маршрута по умолчанию, но настроить через него статический маршрут до VPN-концентратора исполнителя и поднять VPN-туннель до него же?
Серёга, ты зачем нас сдал? Пойду Елене Петровне пожалуюсь, что ты нам задание по информатике запорол!
Pal_Palych, позвольте дать вам два совета:
Для внесения важных, сложных изменений, можно использовать файл конфигурации, который вы можете подготовить заранее, проверить, загрузить и применить.
Вы можете вполне самостоятельно сделать своё устройство для удалённого восстановления микротиков, например, купить самую недорогую модель, добавить к нему usb модем и сделать необходимые настройки и тогда, в случае необходимости, ответственное лицо берёт данное устройство, идёт к любому роутеру микротик, подключает его в любой порт и вы получаете удалённый доступ.. я думаю, что это и совсем не дорого, и не сложно, и было бы интересно почитать.
Вы можете вполне самостоятельно сделать своё устройство для удалённого восстановления микротиков, … я думаю, что это и совсем не дорого, и не сложно, и было бы интересно почитать.
И такое устройство потребуется выдать каждому клиенту на каждую его площадку. Почему? Дело в том, что связь, как обычно, нужно восстанавливать очень быстро, и потому завести одно единственное такое устройство, чтобы затем в мыле носиться с ним по удалённым площадкам клиентов по всей стране — совсем не вариант. С учётом этого такое решение уже никак нельзя назвать недорогим. Плюс ещё кто-то должен платить за все симки, вставленные во все эти устройства, а это весьма немалые деньги, ведь закон Яровой давно сожрал все тарифы типа «Супер 0».
safe mode
Safe mode в данном случае неприменим, поскольку при прерывании сессии winbox происходит мгновенный возврат к предыдущим настройкам. Нам же необходимо сменить (ну, пусть добавить) IP адрес и изменить (тут уже без вариантов) шлюз по умолчанию (причем сделать этот шлюз основным, чтобы все пакеты пошли через него). В этом случае обрыв сессии winbox неизбежен - и обязательно произойдет откат изменений (независимо от того, работает новый IP или нет).
В этом случае обрыв сессии winbox неизбежен - и обязательно произойдет откат изменений (независимо от того, работает новый IP или нет).
Немедленного обрыва сессии, кстати, по идее, можно избежать, цепляясь к микротику для настройки не к адресу WAN-интерфейса, который изменится в процессе настройки, а к адресу какого-нибудь внутреннего бриджа без подчинённых интерфейсов (аналог cisco loopback), который всегда поднят.
В таком случае, по идее, даже при падении интерфейсов подключения сессия может оборваться только по таймауту, и если он достаточно большой, то можно и успеть её подхватить, когда связь с головным офисом восстановится после успешной перенастройки адреса WAN-интерфейса и маршрута по умолчанию. Единственное требование — адрес этого самого внутреннего бриджа в процессе перенастройки меняться не должен, чего можно достичь, предварительно настроив на удалённом микротике VPN-туннель на площадку, где стоит машина с WinBox'ом оператора, причём настроив его так, чтобы он поднимался с любого адреса (т.н. клиентский удалённый доступ). Не знаю, какие таймауты у WinBox'а, у ssh они достаточно большие.
Идея интересная, надо будет попробовать.
Хотя (как я уже писал в соседней ветке комментариев) этот скрипт может помочь в совершенно разных случаях, не только при смене IP-адреса. Например, изменение скомпрометированного пароля VPN для доступа из филиала к центральному офису, изменение схемы маршрутизации сети и т.д.
Например, изменение скомпрометированного пароля VPN для доступа из филиала к центральному офису, изменение схемы маршрутизации сети и т.д.
В один прекрасный момент из-за срочности/усталости Вы банально прохлопаете переполнение диска, или в момент записи полетит файловая система, в результате чего конфигурация сохранится лишь частично, и Вы всё равно потеряете удалённый роутер, потому что следующим шагом скрипт с железной неизбежностью восстановит получившийся кривой огрызок конфига.
Вы б хоть доку прочли. Немедленного отката не будет. В пределах жизни TCP сессии все вполне себе живет. Т.е. путем исправления таймаута TCP сессии можем варьировать и таймаут возврата.
https://help.mikrotik.com/docs/spaces/ROS/pages/328155/Configuration+Management#ConfigurationManagement-SafeMode
Не совсем понял, какой файл конфигурации можно подготовить заранее, для микротика на удаленном объекте. Ну то есть мы подготовили изменения конфигурации, протестировали их (ну да... изменения внешнего IP в томском филиале, протестировали в Санкт-Петербурге... ну ок, для дискуссии предположим). Применили эти изменения, конфигурация правильная... но провайдер не предоставляет интернета по тому IP адресу, который он же (провайдер) нам и выдал (напомню, этот IP был выдан по ошибке). Конфигурация правильная, "протестированная", но... не работает.
Интересное решение, если бы такое устройство можно было купить по цене недорогого микротика (то есть в пределах 10 тысяч), то мы бы, конечно же, его купили... в количестве 1 штук на все 5, 10... 100 филиалов, и высылали бы такое устройство по мере возникновения проблем (ну или при ЛЮБОМ изменении конфигурации микротика в ЛЮБОМ из филиалов) заранее (за 2-10) дней высылали бы такое устройство, убеждались бы, что оно приехало, подключено, вносили бы изменения в конфигурацию... потом высылали бы устройство обратно. Затем - следующий филиал, ну и далее по кругу. Чувствую, что где-то здесь есть подвох, но не могу понять, где... :)
Конфигурации бывают сложными, поэтому хорошо бы иметь некоторое представление об оборудовании заказчика и предварительно перепроверять все изменения, в зависимости от бюджета, начиная от виртуализации сети, и заканчивая приобретением физического железа, чтобы видеть и уметь работать со всей спецификой оборудования. В "лоукост" сегменте, устройства hap, hex, ax, 009, 30\4011, 5009 стоят очень недорого. CHR вообще имеет free и trial лицензии. А возможность настройки не только бинарными файлами, это прямо подарок свыше. Так же хочу напомнить, что все работы должны проводится на основании внутренних приказов, распоряжений и должны регистрироваться в документообороте компании. С вашей стороны, вы должны были предложить заказчику доп.соглашение к договору, с соответствующей оплатой для проведения дополнительных работ или устранения последствий инцидента, и уже дальше заказчик будет выбирать исполнителя, а в случае инцидента взыскивать с виновных понесённые убытки.
Такое устройство и стоит 10 тыс руб, условно hap + usb модем + симкарта, при этом стоимость сотовой связи на год не превышает 1500 руб, у некоторых операторов и того дешевле, например, у Т2 около 1500 руб на 2 года. Эти расходы кажутся просто незначительными. А учитывая возможность установки "вендор лока" у микротиков, такое устройство можно будет вручать даже таким завхозам как Паша Эмильевич.
А так всё выше описанное вами, прошу прощения, это не профессионализм и уровень "настройка пк по объявлению", что практически исключает вас как компанию для рассмотрения хоть в каком-то более или менее малом и среднем бизнесе.
Можно даже сделать это заранее, и иметь доступ в любой момент. Да, надо потратиться на модем, роутер и симку с интернетом. Но зато перспектива лететь через пургу в объятья недружелюбных геодезистов скрывается в тумане.
Такие вещи без мопеда с резервным интернетом вообще нельзя делать. Раз сотрудники могут раздать wifi то и покрытие значит есть.
Работал тоже в строительной компании. Отказались от оптики в вагончики, после первого же раза когда этот вагончик надо было переставить, а мы об этом узнали, когда нам позвонили и сказали, что инет не работает. Электрик все провода заходящие в вагончик кусачками обстриг. А в новом месте электрику завел.
Так что либо wAP LTE либо RB951G-2HnD c модемом и внешней антенной.
За полтора года стройки штаб разворачивают на одном месте, потом он может переехать в другое место площадки, потом переезжают в здание, потому что вагончики нужно убрать для благоустройства, потом еще раз переезжают в другие кабинеты. Оптику не натаскаешься.
У меня все внешние микроты сдохли года за два. С тех пор - отдельный радиорелейный провайдер. Переставили вагончики- вызов инженера Колибри телеком. Пока нет интернета все спокойно сидят через моб телефон, 21 век все таки.
Я этим решением свою жизнь просто волшебно разгрузил.
ЗЫ: специфика стройки - никому не нужен идеальный аптайм твоих услуг. Тут то света нет, то миграционная кого то шманает, то ещё что. Работал интернет 99,9 процентов времени или 90 - никто не заметит.
все спокойно сидят через моб телефон
Вы, очевидно, не до конца понимаете, что такое чисто поле в Томской области.
Да что ж никто даже статью не может прочесть нормально то? Это мифическое чистое поле без мобильного интернета в Томской области, оно сейчас с нами в одной статье?) у автора прямо говорится что именно в его томском, чистом, поле мобильный интернет ЕСТЬ.
Соответственно, если вдруг наш дорогой друг, счастья ему даром, где-то ошибся, диктуя нам устно IP, маску, шлюз и DNS, возможности попросить кого-то подключить к Микротику проводом ноутбук, раздать вайфай с телефона и дать нам доступ - не оставалось.
Видимо, после "раздать вайфай с телефона" мне следовало ещё добавить "залезть на крышу и надеяться на чудо". Вариант с мобильным интернетом там, конечно, был, но в хорошую погоду, когда Венера в Водолее и боги GSM благосклонны.
Получается, в статье вы написали что дело в отсутствии кладовщика, а потом ввели новую версию, переобувшись слегка. Суетологи это любят делать, да.
так стоп. в смысле хабр не для суетологов?)
Нет, ну если бы кладовщик был на месте, мы могли бы по крайней мере попробовать. Ну да, пришлось бы искать того, у кого в тот момент в той части площадки хорошо ловит связь, просить его раздать вайфай, найти свободный ноутбук (тут скорее всего использовали бы ноут кладовщика) и т.д. То есть были бы варианты. Но с другой стороны в итоге нашлось решение куда лучше и проще, о чём, по сути, статья и написана.
А что касается переобувания налету - так это вообще очень полезный навык, не понимаю, какие у вас к нему претензии?)
Что за бред. Какая потеря доступа. Говорите рук проекта открыть вагончик кладовщика, просите поднять на пару минут там удаленку через телефон и настраиваете . Не может - не разводить суету и просите сказать, когда будет предоставлен доступ к оборудованию.
Вообще не понимаю, если нет никого с той стороны микрота, то интернет никому не нужен. Если кто приходит и говорит что нужен инет- через него настраиваем микрот через его телефон . Simple as
Более того, обычно сотрудники, закалённые нестабильной связью, спокойно сами на мобильный интернет переключаются, если не полениться и каждому на ноуте vpn в общую сеть подключить ( wireguard например), то проблем вообще никаких не будет.
Вообще не понимаю, если нет никого с той стороны микрота, то интернет никому не нужен.
Например интернет нужен камерам чтобы руководство из теплого офиса могло посмотреть на объект.
Если кто приходит и говорит что нужен инет- через него настраиваем микрот через его телефон
ТП "провайдера" может быть на выходных как и специалист по микротам а инет может быть нужен в субботу в 6 утра по Москве. Понятно что решение найдётся, но лично я предпочитаю иметь на площадке страхующего и если все сломалось - чинить сразу.
Страшно далеки вы от реальности
У обычного девелопера с десяток объектов и несколько человек в техподдержке, никто на площадке никаких страхующих не держит. Все инженеры выезжают по мере надобности и возможности. Объективно, доступ к оборудованию не предоставлен на площадке - не наша проблема.
Все инженеры выезжают по мере надобности и возможности
У меня мало статистики по объектам кап строительства, на последнем объекте мы не видели этих мифических инженеров за месяц работы как и it из эксплуатации. Наверное если остановить работы - они бы появились вместе с оптикой, но мы не придерживаемся мнения "интернет на площадке не предоставлен - не наша проблема".
Кому как, а мне сказ понравился.
По-моему кто-то искал приключения на ровном месте.
Раз для восстановления DHCP достаточно перезагрузки, значит интерфейс один. Я бы прописал выданную статику алиасом, пропинговал бы с её SRC выданный шлюз. Если всё ок, настроил бы руками маршрут на условный 2ip.ru через новую статику и попробовал бы пойти туда. Если всё ок, сделал бы на новую статику удалённый вход со своего рабочего места. Вошёл бы через него и прибил бы DHCP клиента.
Микрот всё время на связи, можно работать и в safe-режиме.
Идея хорошая, конечно. Но скажите честно - Вы каждый раз так делаете, когда нужно IP сменить на удаленной площадке? Как любит говорить один из наших специалистов после какого-нибудь фейла "ничто не предвещало беды..."
Тут важен баланс между трудозатратами на настройку и вероятностью возникновения проблем. Описанная проблема, мягко говоря, совсем нечастая. Использование нашего решения займет совсем немного дополнительного времени.
Опять же, предложенное решение (относительно) универсально. В данном случае, используя предложенный скрипт, можно вносить практически любые изменения в конфигурацию MikroTik. Это аналогично команде отложенной перезагрузки у cisco (как написано в соседней ветке комментариев).
Восстановление предыдущего конфига это хорошо. Но разве нельзя было оставить старый DHCP конфиг, параллельно добавить статический адрес + маршрут через новый гейтвей, но только на условный Яндекс и проверить, что новый маршрут работает?
Также, если сильно руки чешутся, можно добавить простейшую маркировку входящих соединений, подключиться по новому адресу до микрота и уже через новое подключение рубить старое.
Использую по 2 провайдера на точку в похожих условиях, с одной оговоркой - через каналы работает разная там 1с и все такое, тоесть, связь важнее чем при работе с файлами.
Один пров - как маршрут по умолчанию, другой как маршрут по умолчанию для всего что через него зашло. Очень удобно, всегда можно подключится.
У мобильных операторов для B2B клиентов и операторов связи есть волшебные SIM-карты, на которых нет интернета (и телефонии), а весь трафик с нее идёт прямиком в фиксированный стык (IP VPN). Карты эти ОЧЕНЬ удобны для удаленных площадок как менеджмент-порт. Рекомендую.
Del
А была бы циска:reload in 10
И всё, конфигурьте, главное случайно write не скомандовать.
Если что плохое случится - она ребутнётся через 10 минут и откатится на сохранённое состояние. А если всё ок - просто сохраните конфиги и отмените перезагрузку.
А была бы циска:
reload in 10
А в микротике вместо этого есть кнопочка [Safe Mode], или же Ctrl+X в консоли, врубающие безопасный режим, в котором микрот откатывает все сделанные изменения в случае обрыва сеанса, в котором этот самый режим включили.
Правда, есть один нюанс: в безопасном режиме не удастся нормально настроить коммутируемые порты, будучи подключенным к устройству через один из них, потому что некоторые операции настройки таких портов, вланов и STP никак невозможно выполнить, не потеряв при этом связь с устройством на некоторое мгновение, и этого хватает на откат конфигурации из-за включённого безопасного режима. И только в этих редких случаях может потребоваться тот самый скрипт, про который написано в статье.
Прочитав комментарии, я понял, что айтишники в массе своей очень плотно закуклены в информационном пузыре нескольких крупных городов, и слабо понимают, что из себя представляет та страна, в которой они живут. Даже в Ленобласти до сих пор есть локации, где не то, что мобильного интернета - GSM сети нет. Что уж говорить про Томскую область?
Похоже, вы невнимательно читали статью.. В данной статье прямым текстом говорится что там есть мобильный интернет.
"Кладовщик ушел и закрыл вагончик, поэтому возможности попросить кого-то подключить к Микротику проводом ноутбук, раздать вайфай с телефона и дать нам доступ - не оставалось."
Уже отвечал чуть выше. Мобильный интернет там был, но очень специфический, и уровень сигнала знатно гулял. Причём, в чём главная подстава - периодически в одном и том же месте нормально ловил то один оператор, то другой, будто у них там какая-то война за эфир. Из-за чего мы, кстати, и не использовали решение с usb-модемом.
Мобильный интернет там был, но очень специфический, и уровень сигнала знатно гулял
Но главный вопрос все равно остается, зачем нужны эти костыли со скриптом, когда есть штатный safe mode?
как уже ответил в соседней ветке, Safe mode тут не поможет, поскольку при смене IP + шлюза по умолчанию ВСЕГДА идет обрыв текущей сессии, а значит откат изменений.
поскольку при смене IP + шлюза по умолчанию ВСЕГДА идет обрыв текущей сессии
Почему это? Вы можете добавить дополнительный маршрут не трогая основной, и маршрутизировать через него например только определенный трафик не трогая основную сессию управления.
ну, то есть уже понятно, что "просто включить Safe mode" не получится? Безусловно, можно сначала добавить IP + настроить шлюз, сделав его шлюзом не для 0.0.0.0/0, а для определенной подсети или для определенного IP адреса (с маской /32). Но тут вопрос, что при (совсем грамотной) настройке и Safe mode не нужен.
У нас же сделан наиболее простой и относительно универсальный (можно вносить практически любые изменения, не только менять IP адрес) вариант "попробовал => не сработало => само откатилось" или "попробовал => сработало => отключил восстановление предыдущих настроек".
Ого, сразу несколько операторов есть, а вы еще жалуетесь. Купите нормальную направленную антенну, поставьте повыше, направьте на ближайшую вышку, настройки failover и проблема решена.
Все равно не понимаю . Ну ок, нет интернета. Gsm есть?Позвоните любому прорабу, продиктуйте айпишник микрота и скажите что там нажать. Всё.
Позвоните любому прорабу, продиктуйте айпишник микрота и скажите что там нажать.
Обожаю такие комментарии. В последнее время, за такими и захожу.
А, понял. Вся суета из за того что у автора там какой то общий пароль и для госуслуг и для банка и для всего оборудования и автор боится его сказать? Ну косяк , да. Тогда терпеть и писать какие все дураки кругом. )
А если пароль всё таки уникальный, то сменить его после получения доступа к оборудованию
Позвоните любому прорабу, продиктуйте айпишник микрота и скажите что там нажать
И пароль продиктуйте. И свой личный на всякий случай. От госуслуг. И смс с кодом перешлите. И все цифры с банковской карты, с обеих сторон! :D
Давно не копал микротики, но вроде раньше там был режим который позволял сбросить конфигурацию в исходное при перезагрузке.
Ну и вообще зачем так сразу убирать dhcp
Не проще добавить ещё один маршрут с ручной дистанцией +10 от исходного - старый отвалится новый прицепится . Вряд-ли у вас там какая то сложная маршрутизация .
Давно не копал микротики, но вроде раньше там был режим который позволял сбросить конфигурацию в исходное при перезагрузке
Только не при перезагрузке как таковой, но суть та же. Safe mode возвращает конфигурацию актуальную на момент его включения, если от устройства отключились, не отключив предварительно safe mode, то есть если вы случайно отвалились по любой причине, или даже просто вышли забыв отключить safe mode.
можно было бы сделать проще
отжать на микротике "safe mode"
прописать на интерфейсе где dhcp-client еще и новый статический адрес
добавить статический роут на какой-то доверенный адрес.
проверить что все доступно и работает. отжать обратно "safe mode"
ждать когда сменятся адреса
зайти с доверенного адреса и прописать дефолтовый шлюз, выключить dhcp-client
в п.3 можно было бы даже добавить новый дефолтовый роут на новый шлюз. но он был бы неактивен пока не появится арп от него. и тогда вообще все прошло бы прозрачно.
Если там есть мобилтный(!) интернет(!!), то это вообще не гребеня, а наицентральнейший центр цивилизации.
Гребеня - это когда до обьекта от ближайшей оптики сотня км, десяток-полтора пролётов релейки и 8 месяцев в году добраться можно только на вертолёте.
Ну а вообще долбое… дятлов надо лечить. 1) В договоре прописывать, что любые изменения настроек WAN (а лучше вообще всех) - только по официальному письменному уведомлению.
2) Дали не те настройки? Вот документ, вот подпись, вот исходящий номер, все претензии туда.
Хотя, разумеется, автооткат - штука архиполезная. Разве что я бы период поставил минут на 15-20, 10и может не хватить.
А в целом микрот - штука преотвратная. То, что на нормальном роутере делается установкой пары галок - на этом поделии требует написания скриптов и хрен знает каких плясок с бубном. Да еще он при некоторых ошибках любит кирпичиться до сброса на заводские настройки. Да, и из LAN тоже не достучаться. Такая сложность настройки была бы оправдана на аппаратуре уроня профессиональной циски, но производительность этого продукта жизнедеятельности на циску ну никак не тянет, в общем, у этого куска железа область применения - те 0.5% случаев, когда нужен хиторовы… завернутый функционал уровня циски, но НЕ нужна её производительность и надёжность.
Да еще он при некоторых ошибках любит кирпичиться до сброса на заводские настройки.
Ой, да ладно. У меня и 3845 теряла прошивку по причине того, что убивала заводскую карту CF, и это вообще документированный Циской баг. Повезло, что я эти циски перезагружал по одной за раз, а не обе сразу. Ничего, поднял на второй, резервной, tftp и загрузил "окирпиченную" с её соседки, а потом дробной рысью помчался на удалённую площадку через магазин, в котором быстренько купил первую попавшуюся карту на замену сдохшей.
Кстати, у микротиков непроизвольного сброса до заводских настроек не видел, видел только ту же самую потерю прошивки, когда микротик, не сумев загрузить то, что у него записано во флеше, начинает напряжённо щупать окружающую сеть через порт ether1 в надежде найти в этой самой сети сервер bootp, который подскажет ему сервер tftp, с которого он уже попробует стянуть свою прошивку. В общем, всё, как и у циски. Ну и после перепрошивки такие микротики нормально перезагружались, успешно находили сохранённую конфигурацию и восстановления настроек не требовали, сразу же начинали работать.
Такая сложность настройки была бы оправдана на аппаратуре уроня профессиональной циски, но производительность этого продукта жизнедеятельности на циску ну никак не тянет, …
Да нормальная у них производительность, за их стоимость. Лично меня в микротиках угнетает только невозможность собирать их спарки из-за отсутствия в RouterOS репликации соединений, отслеживаемых МСЭ.
Да еще он при некоторых ошибках любит кирпичиться до сброса на заводские настройки
Первый раз слышу о чем-то подобном. Ну а то что до Циски он не дотягивает, так он и стоит в 10-20 раз дешевле. Лично я не знаю других роутеров с таким хе хорошим соотношением цена/функциональность/надежность. Если вы знаете -- подскажите, но обычно всё что лучше -- гораздо дороже. Есть конечно Кинетики, но там железо слабее, функционал победнее, и настроить что-то сложнее базовой конфигурации не сильно проще, а стоят они точно так же.
Ну, как говорится, люди, согласные удалённо обслуживать маршрутизаторы без резервного канала управления — сами себе злобные буратины-эквилибристы на тонком оптическом кабеле.
По моему скромному мнению, в каждом маршрутизаторе для удалённого управления должен обязательно постоянно торчать 3G/4G/LTE свисток с M2M тарифом, за который должен платить заказчик, и через этот свисток должен быть постоянно поднят VPN-туннель до площадки исполнителя, его обслуживающего, тот же Wireguard, например. Почему не 2G? А потому что, как тут недавно внезапно выяснилось, в некоторых местах нашей необъятной через сеть 2G уже практически не работает пакетная передача данных.
Спасибо. Круто сохраню. На некоторых коммутаторах вроде Циски есть такая функция таймер перезагрузки. Включаешь и работаешь. Если что сломал, то Коммутатор перегружался не аохраняяя последние сохранения вель Саве никто не нажимал.
Не дочитал)
А зачем l2tp? Расходы и лишняя инкапсуляция. Нужна была L2-связность?
В том числе может понадобиться и L2, поскольку иногда специалисты умудряются притаскивать купленные видеокамеры прямо на удаленную площадку (а не сначала к нам, чтобы мы их настроили). Ну а на площадке, понятное дело, "как обычно" только камеры + видеорегистратор, то есть обнаружить камеру в широковещательном домене просто неоткуда (нет компьютера для запуска софта по настройке камер). Поэтому может возникнуть необходимость прямо из центрального офиса настроить такую камеру.
Ну и главную причину может озвучить один из наших специалистов (которого мы очень любим за его афоризмы) - "так сложилось исторически" :)
1) А зачем перезаливать конфиг? Почему нельзя просто скриптом менять адресацию?
2) Как писали выше. Почему просто не прописать второй адрес без всех этих плясок?
Ну и просто как совет. Налаживайте отношение с провайдером.
а Safe Mode (https://help.mikrotik.com/docs/spaces/ROS/pages/328155/Configuration+Management#ConfigurationManagement-SafeMode) чем не угодил?
А не проще было в Winbox в левом верхнем углу нажать "Safe Mode"? И если после изменения настроек пропал доступ, то через какое-то время изменения откатятся и доступ снова будет. Зачем изобретать велосипед?
Ребят, в виндоксе, в левом верхнем углу, на самом видном месте есть сайф мод
Нда, почитали бы вы packetflow от mikrotik-trainings.com
Есть такая штука как routing-mark и route-rules.
Микрот позволяет создать до 256 незасисимых таблиц маршрутизации, соответственнл столько же уникальных адресов управления незааисимых друг от друга.... а уж темболее в l2tp можно указать source address....
В общем хреновый у Вас гуру))))
Вы предлагаете, фигурально выражаясь, забивать гвозди микроскопом. Ситуация (по большому счету) тривиальная: сменить IP адрес. Да, на удаленном филиале, но все же. А для построения таких таблиц маршрутизации нужна техподдержка соответствующей квалификации. В нашем же случае (условно говоря) техподдержка 3-го уровня готовит скрипт + "инструкцию по эксплуатации" к нему, а сами изменения может вносить техподдержка 2-го уровня (или даже 1-го, тут зависит от правил ранжирования в фирме).
Тем более, что с таким скриптом можно менять не только IP адрес, но и (например) скомпрометированный пароль VPN подключения из удаленного филиала к центральному офису (мы не рассматриваем ситуацию, когда к удаленному филиалу можно подключиться по статическому внешнему IP). Например, IP-адрес внешний, но динамический. Ну или вообще микротик за провайдерским NAT, к нему не подключиться по "внешнему" IP.
Вам пытаются пояснить, что не нужно мешать в кучу технические и организационные вопросы. Специфика столичных интеграторов, которые подряжают в глубинях местных мелких провайдеров, а те арендуют у кото-то еще последнюю милю, многим тут известна не понаслышке. Так что регламенты и SLA тут наше всё.
Ну а про оборудование: после знакомства с Juniper (commit confirmed 5) моя жизнь изменилась. Такой же подход есть и в Linux (netplan try --timeout 5).
Только это не микрот позволяет, а Linux networking.
Уважаемый автор, нельзя ли пояснить, что случится, если команда /system backup save name=reload не сможет записать резервную копию конфигурации на диск из-за того, что он, например, уже забился разными полезными файлами? Насколько я понимаю, оператор об этом ничего не узнает, и если микротик в процессе настройки отвалится, то приведённый в Вашей статье скрипт уже не сможет откатить конфигурацию до рабочей ввиду её отсутствия?
Пал Палыч против сил зла