alpha_ds

Это мысль. Попробую.

А если down продлится некоторое время? с электричеством обычно так и есть... Придумал по on down эн***ть в Schedule задачу, которая каждую минуту будет передергивать DHCP client, а по on up дисейблить эту задачу... Но блин!!! Это же костыль трехэтажный получается. Бред. :-(

Ясно. Будем пинговать. А что пинговать то? Шлюз не пинганется пока DHCP client не передернуть, т.е. по netwatch down - пинговать еще рано, а On Up никогда не наступит... Эээх... Простоя надеялся, что есть какое-то событие типа interface link up/ link down и на него можно как-то отреагировать... Ведь даже для логов есть такой топик! Но а нормального реагирования на него нет :-( Я уже второй раз встречаюсь с тем что нужно мне событие в логи пишется, а прореагировать на него сразу вообще нельзя, а отложено по таймеру сканировать логи - то еще развлечение... Просто напрашивается в Logging новый Action для вызова скрипта.

Да, упустил этот момент в описании :-( vlan привязан к бриджу, в бридже все порты одного из свичей. У меня 2011UiAS vlan сделан с помощью свича, по стандартным рекомендациям из документации. Так сделано, потому что от провайдера приходит ethernet а потом этот-же сегмент раздается этим роутером через Vlan на другой порт (а там уже другое оборудование получает адреса от провайдера) в этот "другой порт" идет еще и другой vlan, и оно уже разбирается на том конце линка другим коммутатором. Эта часть успешно работает.

Получаю от провайдера адреса по DHCP Адресов несколько (только один для этого роутера), соответственно ethernet интерфейс который идет к провайдеру включен в VLAN, и у роутера есть виртуальный интерфейс в этом же VLAN. И уже на нем висит DHCP client. Все работает замечательно, пока не происходит сбой электричества... А мой UPS оказался покруче провайдеровского :-) Итого Ehernet интерфейс на провайдера падает и после возврата электричества поднимается, а виртуальный vlan интерфейс не падает, и соответственно мой DHCP client не пытается переполучить адрес. А провайдер без этого интернет не дает... Приходится вручную передергивать DHCP client, ибо экспайтится адрес аж 24 часа... Пока не было VLAN в сторону провайдера - все работало, после переподключения интерфейса, DHCP client на нем переполучал адрес автоматически. Собственно вопрос, как правильно сделать, чтобы DHCP клиент замечал переподключение другого интерфейса? Пока придумал через netwatch пинговать шлюз провайдера, но как-то не лежит душа к этому решению :-)

Всем спасибо за советы по ограничению доступа. Я обязательно их применю в других случаях. В данном случае я сразу описал, что web доступ для всех IP это изначальная постановка задачи. В данном случае это пока необходимо. Вопрос был в том, как можно исследовать произошедшее? Есть ли идеи как именно произошел доступ, если учесть что это на 99% был не подбор пароля. Ну и если есть желание придумывать "как сделать лучше" подскажите, как реализовать человеческий fail2ban на mikrotik, а не превентивное огораживание. Ибо вариант из faq с несколькими стадиями в src list для web в принципе не работает (да и для ssh объективно говоря не работает, т.к. подборщики сейчас аккуратно-медленные или распределенные по многим IP) Вариант с парсеньем логов по факту у меня не заработал. Несколько вариантов из howto курил... От полной неработоспособности, до нестабильности или странными косяками, типа на memory логах работает, а на дисковых - нет. Что это вообще за система такая, которая не может запустить скрипт по событию? При чем логировать может гибко, даже Email может слать по событию, а файрвол подкрутить не может :-( Пока у меня последняя идея, это слать все события в удаленный syslog уже там анализировать и оттуда дергать файрвол на микротике... Но уж как-то сильно заморочено для такой серьезной системы как mikrotik. И вот смотря на последний тезис, у меня возникает ощущение, что это я что-то делаю не так. Ну зачем строить такие костыли? Возможно, все таки, есть штатная возможность реагировать на события login failure просто про это не сказано в Faq? :-) Поэтому и обращаюсь за помощью к общественности.

Сразу прош прощения за некоторую провокационность в теме, но очень похоже. Начну с того, что у меня по некоторой нужной причине открыт http доступ к роутеру. Больше никаких сервсиов не открыто. И раз уж так случилось, то приходится присматривать за доступом. Настроено уведомление о успешных и безуспешных входах сразу на email. В случае прихода перебиральщиков - блокирую их в файрволе. К счатью не так часто это происходит, ибо автоматизировать этот процесс так и не удалось, даже после нескольких попыток. И вот на днях маршрутизатор "внезапно" перезагружается. Я захожу в админку (попутно удивляюсь что не пришло уведомление о моем входе), смотрю в логи - а там пусто, смотрбю в Logging - а там все логирование отключено! Я блокирую доступ снаружи, восстанавливаю логирование, добавляю еще больше логов сразу отправлять на email. И опять открываю доступ. Через два часа приходит уведомление об успешном логине злоумышленника с его ip адресом. Я опять захожу в админку, вижу его в логах, отключаю доступ и сохраняю логи. Внезапно в логах уже ничего нет. Т.е. он успел их опять почистить. Начинаю более потробно исследовать что произошло и вижу, что моя версия RouterOS v6.46.3 (stable), на тот момент предпоследняя из stable, внезапно изменилась на 6.47beta35 (Testing). Вырисовывается приблизительно такая картина: Злоумышленик смог удаленно обновить прошивку _не_залогинившись_ предварительно с правильным паролем (иначе об этом было бы сообщение мне на email), в процессе отключив логгирование и потерев логи. Возможно в этой прошивке есть бекдор, т.к. потом он залогинился уже с аккауната admin (пароль мой не поменялся). На текущий момент я обновился до RouterOS v6.46.4, поменял пароль, и сижу боюсь... Т.к. отключить доступ совсем не могу. В процессе посканил немножко злоумышленника, нашел вот такое: PORT STATE SERVICE 80/tcp open http 135/tcp filtered msrpc 139/tcp filtered netbios-ssn 445/tcp filtered microsoft-ds 1723/tcp open pptp 2000/tcp open cisco-sccp 2222/tcp open unknown 5061/tcp filtered sip-tls 7100/tcp open font-service 8291/tcp open unknown 9102/tcp open jetdirect На 80 порту, внезапно, старый RouterOS v6.43.7. На 2222 - ssh Не очень похоже на "злобного хакера", тут я подумал, может это "добрый хакер", который ходит и обновляет людям микротики? :-) Но тогда не совсем ясно зачем тереть и главное отключать логи. Вот такая забавная (не очень) ситуация.

Ничего общего в адресах нет. Пробовал, так-же, полностью не пересекающиеся наборы сетей, картина та-же: больше 30-35 строк - и ничего не работает. :-(

У меня 751G-2HnD. Подключаюсь к openvpn серверу, оттуда пушатся несколько десятков маршрутов, которые должны пойти через туннель. При повышении количества маршрутов до 20-30 начинаются проблемы. При дальнейшем повышении количества маршрутов проблемы становятся повторяемыми 100% Симптомы такие, mikrotik поднимает vpn, получает маршруты, добавляет их таблицу маршрутизации, тут "внезапно" vpn падает (тупо Connection reset, restarting [0]), маршруты все оказываются с gateway 0.0.0.0 и не удаляются автоматически! И так далее... mikrotik опять поднимает vpn, получает маршруты, добавляет их таблицу маршрутизации (они там дублируются!), vpn падает, маршруты все множатся и множатся... За минуту в таблице тысячи маршрутов и все встает колом... Пришлось удалять лишние маршруты скриптом. Уменьшил количество push route до парочки штук - все работает замечательно. Начал увеличивать постепенно, при количестве больше 30 (не точная цифра) - все как выше описано. 20 - нормально. В средних числах через раз. Я понеимаю, что машинка не мощная... Но какое-то странное поведение. Есть мысли что с этим можно сделать? Агрегировать маршруты не получится, они очень по разным направлениям. Внедрить динамическую маршрутизацию тоже не вижу как, маршруты из кастомного списка.

Кстати, а как насчет vyatta? Выглядит с первого взгляда солидно, но не перебор ли это? Ну и еще пусть будет для общего списка zeroshell.net

Не для офиса, а даже наоборот. Объединить несколько офисов по vpn и вынести серверный парк для общей работы на колокейшен под vmware. Но за ссылку на айдеко спасибо. Хоть цену у них совсем не гуманные, но посмотреть интересно.

Всем спасибо. Хотелось именно услышать личные впечатления о разнообразных продуктах. Похоже pfSense вполне подойдет. Что интересно, немного поискав нашел свое-же письмо на этом-же форуме :-) http://forum.nag.ru/forum/index.php?showto...st&p=144996

Нужен софтовый роутер. Главное требование простое управление через web интерфейс, чтобы настроить, отдать и забыть - пусть потом сами подкручивают. :-) Требования минимальные. Он будет в основном работать как VPN (pptp) концентратор для пары десятков пользователей. Трафик небольшой. Так вот чтобы потом добавлять, удалять пользователей и нужен web интерфейс. Еще нужно логирование кто когда откуда залогинился. Ну это, в принципе, и все требования. Да, жить это все будет на виртуальной машине в vmware, так что, насколько я понимаю, нужна поддержка scsi винтов, хотя в принципе можно и из iso образа запускать... Посоветуйте какие попробовать варианты? Предпочтение отдается бесплатным, и не дорогим.

Нужен граничный роутер. Сейчас используется unixbox на стареньком целероне (потихоньку помирает и захлебывается по cpu) но хотим более взрослого решения. Т.о. разбиваем задачу на две части. Собственно роутер (и прочие сетевые дела: DHCP, NAT, firewall, vpn, шейперы) и сервер приложений на котором поселяться почта, прокси и всякие статистики... К роутеру требования: Два Ethernet подключения к провайдерам. Возможно один физический порт с vlan если это заметно дешевле будет, но думаю все-же лучше 2. Желательно несколько внутренних портов - пара локалок, DMZ... Ну или та-же идея что и предыдущем пункте. Поддержка десятка VPN соединений снаружи. Мощность для обработки пару десятков мегабит внешенго трафика, а возможно в до сотни в будущем. Около сотни внутренних пользователей. По поводу двух провайдеров для начала source based routing, в будущем будем договариваться на BGP и свою AS. Всяких WiFi и проих SOHO свистелок в роутере не нужно. Прекрасно понимаю что все вышеназванное легко ложится на unixbox, но хочу циску. :-) К сожалению не очень даже представляю объем требуемого бюджета, поэтому желательно услышать несколько предложений. Если есть хорошие предложения не по конкретно циске, а какой нибудь другой серьезный производитель - выслушаю. Но не хочу потенциально глючное железо даже за дешево. :-) Возможно посмотрим на б/у варианты, я так понимаю запросы по мощности небольшие, вполне пойдет какая нибудь более старая модель. Ну и в дополнение. В будущем планируем переводить офис на VoIP, скорее всего asterisk и пару шлюзов для аналогового города и некоторых аналоговых внутренних портов, остальное в цифре. Особо на это не напираем, но если есть какой нибудь нюанс который в может повлиять на это внедрение тоже обратим внимание. Приветствуются ссылки откуда начинать копать. А то на cisco.com глаза разбегаются. :-(

Очень странный результат. У меня весьма неплохо проработал линк около года. ~250 метров телефонного кабеля (не знаю какого, многожильные телефонные кабеля) плюс 50 метров витухи. Телефонистов попросили все стыки поджать, термички выкинуть. Скорость в одну сторону около 50 мегабит. Весьма стабильно. Если начинать качать в другую сторону, то скорость падает до суммарной тех-же 50 мегабит. У этих девайсов другая большая проблема, у них очень маленький буфер для MAC адресов. Буквально 5 штук. Т.е. когда мы на удаленном конце поставили принт сервер и многие стали на него печатать - было плохо. Тупо часть видна, часть нет, и непредсказуемо. Опубликовали этот принтер на сервере в основной сети, и все стали работать через него - все ок. Вообще собирались вынести этот линк в отдельный сетевой сегмент и сделать между ними роутинг, но и так все устраивает Сейчас сняли и будем ставить на другой линк.