Comments 42
Универсальных принципов для любого сетевого устройства два - администрирование только с внутреннего интерфейса (снаружи закрыто все) и регулярно обновлять прошивку. Если надо админить удаленно - vpn во внутреннюю сеть и с него только ходить на микротик (или что-то другое).
Хороший вопрос. Хороший на него ответ. Идея собрать предметные рекомендации по администрированию сетей на базе оборудования MikroTik достойно отдельного рассмотрения, учитывая различные подходы, нюансы, «любимые и не любимые» навороты.
Не так уж много я с микротиками общался, больше с цисками, в микротиках не понравилось, что нельзя бэкапить и заливать обратно конфигурацию в текстовом виде, так же как на циске. То есть наверное как то можно, но не тем способом, к которому я привык. Впрочем, особо глубоко не копал. Бинарные конфиги это бред и удел бюджетного сегмента. Второй косяк - отсутствие в бюджетных моделях serial console.
А так, конечно, если бюджет ограниченный, а надо какой-нибудь нестандартный изврат сгородить, - микротики выручают.
в микротиках не понравилось, что нельзя бэкапить и заливать обратно конфигурацию в текстовом виде
Бекапить в текстовом виде можно — /export file=config.rsc. Я предпочитаю в одну строчку, вот так — /export terse file=config.rsc
А вот восстановление конфигурации с этого файла имеет нюансы и скорее всего не получится. А вот построчное/многострочное восстановление из .rsc в терминале это совсем без проблем. Именно так всё и переносят свой конфиг на другое устройство, что практически невозможно если бекап на бинарнике.
У меня как раз были сложности с построчным восстановлением. Подробностей не помню, надо было сделать быстро, но я провозился полчаса на идентичном устройстве.
Для переноса конфигураций между полностью аналогичными моделями бинарный конфиг подходит лучше. Он сохраняет всё, вплоть до ssh ключей и user info и mac адресов интерфейсов.
А преимущество текстового конфига в возможности покопаться в нём.
Я всегда храню оба варианта.
И да, меня это тоже бесит: ну неужели нельзя сделать, чтобы бэкап сливался в нужной последовательности?!?!?
Нужно переместить в самый конец/низ команду добавления в bridge интерфейса с которого вы подключены к микротику, т.к. при добавлении интерфейса в бридж — все соединения по нему обрываются.
Cisco является безусловным лидером в профессиональном телекоммуникационном оборудовании. MikroTik это другое: тут и те, у которых ограничен бюджет, и те, у кого в голове появляются новые идеи и руки доходят их нагородить. Линуксоводы сразу узнают знакомые обозначения. Я бы сфилосовствовал: MikroTik - это про энтузиастов. Но Хабр - это все-таки технический форум, поэтому сформулирую мысль по-другому. MikroTik позволяют с различными допущениями или ограничениями решать большой спектр технических задач в различных сферах применения: от дачного домика за городом, до корпоративной защищённой сети.
>>MikroTik - это про энтузиастов
Слишком громко сказано, на мой взгляд. Энтузиасты поставят/соберут себе OpenWrt и будут крутить/вертеть все, что душа пожелает.
Я как-то ставил себе qt+qbittorrent на роутер, просто потому что могу и потому, что хотел иметь торрент клиент с возможностью закачки последовательно и с первой и последней части.
Микротики же имеют хорошее железо и возможности за свои деньги, но вот разбираться в очередной проприетарной системе, которая имеет свой синтаксис, которая имеет свои ограничения, которая не имеет стабильного интерфейса настройки - для энтерпрайза как дешевая замена циске - сойдет. Для энтузиаста - на мой взгляд, бесполезное дело.
Не openwrt вина, но применение иногда ограничивает.
Да, это вина производителей. Из разряда "у нас проблема в железе? Пох, поправим в софте!" У qualcomm есть софтовая реализация flow offloading - Fast Path, но она содержит хаки и не соответствует стандартам OpenWrt, чтобы добавлять в mainline. А вот стандартам микротик похоже соответствует, чтобы пускать это в прод. Ну и если выбирать между "hw NAT" и SQM, то я выбираю SQM, поэтому flow offloading мне без надобности. С wifi, думаю, такая же картина - квалком пилит вполне неплохие драйвера для ядра - ath9-11. Что им мешает добавить туда еще один адаптер? наверное, то, что этот модуль выделяется из общей картины и из-за него придется переписывать полдрайвера. Вспоминается процессор allwinner H6, в котором из-за ошибки в "железе" блок PCIe работал совершенно иначе, из-за чего работал он только на патченных ядрах и никогда на ванильном.
Ох уж эти любители терминалов
Ох уже эти любители елозить мышкой по экрану.
А serial console вам зачем? Воткнул патч корд в свободный ethernet и запрыгнул на L2 посредством сервиса Winbox на любой MikroTik. Хотел бы ответить работу сервисных инженеров вендора. Отвечают достаточно быстро и качественно, всегда приятно обращаться в техподдержку.
serial console на циске позволяет решать кучу вопросов со сменой прошивки, сменой конфигурации и траблшутинг в случае если что-то пошло не так. Если взять две циски и консоль каждой подключить к соседу - это неубиваемая конфигурация, которую не только сложно вывести из строя, но еще и легко поднять если таки удалось что-то сломать.
если в микротик сдуру залить неправильный конфиг - без физического присутствия его не поднять, поэтому на старших микротиках консоль таки есть
зы: да, и в enterprise обычно нельзя что-то воткнуть в "свободный ethernet", все, что не используется, должно быть отключено, а если используется - то с акссесс-листом, который не позволит воткнуть что-то, что не предусмотрено
если в микротик сдуру залить неправильный конфиг - без физического присутствия его не поднять, поэтому на старших микротиках консоль таки есть
На этот случай на всех микротиках есть safe mode. Если вы его не используете когда есть вероятность потерять удаленный доступ к железке - сам себе злобный буратино.
Я использую другой порт для Winbox. Winbox доступен из интернета по "белому" адресу. При попытке просканировать MikroTik извне адрес заноситься в черный список и с него дропается весь трафик. Третий год так все работает и никто так и не взломал. Надо найти порт, узнать логин и узнать сложный пароль - слишком сложно для взлома.
Если вам это неподходит, то есть интересный способ.
Регистрируетесь со своим доменом в любом сервисе DDNS. Заносите это домен в WHITE LIST. Заводите правило в Firewall:
/ip firewall filter add action=accept chain=input comment="Enable access Winbox from WAN" dst-port=8291 in-interface-list=WAN protocol=tcp src-address-list=remote-usersЗатем получаете у сервиса DDNS URL с обновление домен ➜ IP. К примеру такой:
https://freedns.afraid.org/dynamic/update.php?[ВАШ ТОКЕН]И теперь при подключении из любого места вы открываете этот URL, ждете приблизительно 30 секунд пока DNS Mikrotik среагирует и преобразует доменное имя в IP и всё, у вас есть доступ.
Ну и третий вариант это бить по площадям. Если вы знаете, что будете работать только из одной страны/города, то вносите в WHITE list IP всех мобильных операторов и провайдеров вашего города. Что, скажем так, не так уж и сложно. Плюс сложнейший пароль, нестандартный порт и этого, по моему мнению, достаточно для безопасности.
Вот эта лекция может быть полезной - https://www.youtube.com/watch?v=JRbAqie1_AM
Буквально на третий день
Я пару раз для интереса пробовал воткнуть в Интернет Микротик без файрвола. Брутфорс пароля SSH в одном случае начался через 20 минут, во втором через 2-е (!) минуты.
Возможно функционал разрабатывался, когда RouterOS еще не имел на борту веб клиент, умеющий работать по HTTPS
Если не ошибаюсь, то корневые сертификаты всё равно надо вручную устанавливать.
Ну и неплохо прикрутить port knocking.
216.218.206.118 failed to get valid proposal.
Вы в браузере перейдите по любому из этих IP, там все написано. Или вот тут почитайте:
https://www.shadowserver.org/news/the-scannings-will-continue-until-the-internet-improves/
Сейчас на порту 5678 доступны тысячи публичных socks4 - Mikrotik продолжает "радовать"
Кто копает под мой MikroTik?