[Rus123]

Сразу оговорюсь, я не продавец этой системы, ничего не зарабатываю с неё, не рекламирую её саму. Просто рассказываю,что такое есть.

Может кто-то создаст аналог или наши Латвийские друзья прочтут,поразятся и сделают её частью Mikrotik.com :)

 

О чем пойдет речь — о системе мониторинга и управления своими микротиками.

 

Для кого — на мой взгляд для начинающих операторов и небольших организаций или аутсорс фирм.

 

Что дает система — дает понаблюдать за микротиками довольно быстро и просто используя собственно их же функционал,но выгруженная информация хранится в одном месте — не надо ставить себе систему мониторинга и все это доступно в вебе.

 

Кто придумал — наши американские друзья. Пригласили протестировать — я не отказался. Теперь рассказываю вам.

 

Итак, моя ссылка на систему — https://rusx.mthelper.net/.

 

Начнем с простого — как работает.

Что характерно — быстро и просто для непрофессионалов по микротику. Регистрируемся на сайте — попадаем в свой личный кабинет.

Получаем сообщение о том, что мы теперь внутри и можем радоваться. Напоминание,что Mikrotik, который мы хотим добавить в систему должен иметь выход в интернет. И информацию о том, что сделать мы это можем в одну строчку и не придется что-то выдумывать..... «OneLine Provisioning»

 

Собственно,что предлагается выполнить на нашем микротике

[admin@MikroTik] > /user set admin password=aHighSecurityPa55word

[admin@MikroTik] > /system identity set name=House603-AP

[admin@House603-AP] > /tool fetch url=http://mthelper.net/Cnn4/mth_add; :delay 1; /import mth_add;

 

Ну мы были бы не мы,если бы не разобрались,а что собственно произойдет: в кратце — скачается файл с их сайта со скриптом прямо на роутер и начнет выполняться.

 

Заглянем внутрь скрипта:

 

# # Thank you for your interest in using MTHelper. Feel free to read through this # provisioning script. If you see anything you have a conern about, contact us # via your account https://control.MTHelper.net . Thanks! # :put " MMM MMM TTTTTTTTTTT "; :put " MMMM MMMM TTTTTTTTTTT HH HH EEEEE LL PPPPPP EEEEE RRRRR"; :put " MMM MMMM MMM TTT HH HH EE LL PP PP EE RR RR"; :put " MMM MM MMM TTT HHHHHHHH EEEEE LL PPPPPP EEEEE RRRRR"; :put " MMM MMM TTT HH HH EE LL PP EE RR RR"; :put " MMM MMM TTT HH HH EEEEE LLLLLL PP EEEEE RR RR"; :put "Cnn4"; # # Setup a periodic script that runs the OpenVPN config and/or checks for configuration # updates. First remove any old scripts (in the case we are upgrading). # /system script; remove [find name=ovpn-tunnel]; add name=ovpn-tunnel source={ # # Check to see if the tunnel is open and functioning. If it is, let's get any # configuration updates over the secure link. # :local host; :set host "http://mthelper.net/";'>http://mthelper.net/"; :if ([/interface ovpn-client find running and user=mthelper] = "") do={ :if ( [/ping 25.0.0.1 count=1] = 1 ) do={ :set host "http://25.0.0.1/"; } } /tool; :if ([:find [/system resource get version] " "] > 0) do={ fetch url=[:put (host . [/system license get software-id] . "/" . [:pick [/system resource get version] 0 [:find [/system resource get version] " "]] . "/update")]; :delay 2; /import update; } else={ fetch url=[:put (host . [/system license get software-id] . "/" . [/system resource get version] . "/update")]; :delay 2; /import update; } # # Check if the tunnel is open and running, if not then open it. # :if ([/interface ovpn-client find running and user=mthelper] = "") do={ /certificate; # Clear any file with a size less than 100 (bad downloads) :if ([ /file find name="mthelper.crt" ] != "") do={ :if ([ /file get [find name=mthelper.crt] size ] < 100) do={ /file remove [find where name~"mthelper"]; } } # If no certificate now exists, create one. :if ([ /file find name="mthelper.crt" ] = "") do={ :put "[ MTHelper.net ] Generating OpenVPN key locally (2048 bit)"; /file remove [find where name~"certificate-request"]; remove [find common-name=("Cnn4_".[/system license get software-id]) ]; add name=mthelper common-name=("Cnn4_".[/system license get software-id]) organization=MTHelper days-valid=36500 trusted=yes key-size=2048 key-usage=key-cert-sign locality=Baltimore state=MD country=US unit=Networks create-certificate-request challenge-passphrase="" key-passphrase="" template=mthelper :put "[ MTHelper.net ] Uploading OpenVPN certificate request (csr)"; /tool fetch address=ovpn.mthelper.net src-path=certificate-request.pem user=mthelper mode=ftp password=replehtm dst-path=("Cnn4_".[/system license get software-id].".csr") upload=yes :delay 10 :put "[ MTHelper.net ] Downloading signed OpenVPN certificate (crt)"; /tool fetch url=[:put ("http://mthelper.net/" . "Cnn4_".[/system license get software-id] . "/mthelper.crt")]; /tool fetch url="http://mthelper.net/mthelper.ca"; } # This is where the OpenVPN magic happens! Certificates and keys :delay 10; /certificate; remove [find where organization=MTHelper]; :put "[ MTHelper.net ] Adding MTHelper root certificate"; import file-name=mthelper.ca passphrase=""; /file remove [find name=mthelper.ca]; :put "[ MTHelper.net ] Adding MTHelper client certificate"; import file-name=mthelper.crt passphrase=""; /file remove [find name=mthelper.crt]; :put "[ MTHelper.net ] Adding generated MTHelper private key"; import file-name=certificate-request_key.pem passphrase="" /file remove [find name=certificate-request_key.pem]; # Create a read-only group / user for MTHelper to do passive read-only queries :put "[ MTHelper.net ] Setting up user space"; /user group; :if ( [find name=mthelper] = "" ) do={ add name=mthelper policy="api,ssh,!write,!policy"; } else={ set mthelper policy="api,ssh,!write,!policy" } /user; :if ([find name=mthelper] = "") do={ add name=mthelper group=mthelper password="80631dee4ee304a0a62cbc96f7161b22"; } /ip ssh set forwarding-enabled=yes; :put "[ MTHelper.net ] Snapshotting config for backup"; /export hide-sensitive compact file=mthelper; /tool fetch address=ovpn.mthelper.net src-path=mthelper.rsc user=mthelper mode=ftp password=replehtm dst-path=([/system license get software-id].".rsc") upload=yes; # Now let's create the VPN profile and establish the connection /ppp profile; :if ([find name=mthelper] != "") do={ :put "[ MTHelper.net ] Removing previous OpenVPN profile"; remove [find name=mthelper]; } :put "[ MTHelper.net ] Setting up OpenVPN profile"; add name=mthelper use-compression=no use-encryption=yes; :put "[ MTHelper.net ] Setting up OpenVPN client"; /interface ovpn-client; :if ([find user=mthelper] != "") do={ remove [find user=mthelper]; } :put "[ MTHelper.net ] Adding certificate to OpenVPN client"; add certificate=[/certificate get [find key-usage=digital-signature,tls-client organization=MTHelper] name ] \ cipher=aes256 connect-to=ovpn.mthelper.net \ name=mthelper port=443 user=mthelper auth=sha1 profile=mthelper \ comment=[:put ("[ MTHelper.net ] After login remote access available at https://" . [/system license get software-id] . ".mthelper.net when running ®")]; :put "[ MTHelper.net ] Enabling remote admin"; :local subnet "25.0.0.0/8"; /ip service; :if ([get www disabled]) do { set www disabled=no address="25.0.0.0/8"; } :if ([get www address] != "") do={ :set subnet "25.0.0.0/8"; :foreach k in=[get www address] do={ :if ($k = $subnet) do={ :set subnet ""; } } :if ([:len $subnet] != 0) do={ set www address=(:put ( [get www address] ) , $subnet); } } :if ([get ssh address] != "") do={ :set subnet "25.0.0.0/8"; :foreach k in=[get ssh address] do={ :if ($k = $subnet) do={ :set subnet ""; } } :if ([:len $subnet] != 0) do={ set ssh address=(:put ( [get ssh address] ) , $subnet); } } /ip firewall filter; :if ([find in-interface=mthelper] = "") do={ :put "[ MTHelper.net ] Adding firewall rule, for access over the OpenVPN link"; add place-before=[:pick [ find dynamic=no ] 0 1] out-interface=mthelper chain=output comment="MTHelper allow monitoring connections rule"; add place-before=[:pick [ find dynamic=no ] 0 1] in-interface=mthelper chain=input comment="MTHelper allow monitoring connections rule"; } /system scheduler set mthelper interval=10m; } } :put "[ MTHelper.net ] Setting up scheduler"; /system scheduler; remove [find name=mthelper]; add interval=30m name="mthelper" on-event=ovpn-tunnel; :put "[ MTHelper.net ] Setting up graphs"; /tool graphing interface add; /tool graphing queue add; /tool graphing resource add; # # Setup the SNMP community for reading the router details # :put "[ MTHelper.net ] Setting up SNMP"; /snmp set enabled=yes trap-version=2; /snmp community; :if ( [find name=mthelper] = "" ) do={ add addresses=25.0.0.0/8 name=mthelper read-access=yes security=none write-access=no; } else={ set [find name=mthelper] read-access=yes security=none write-access=no addresses=25.0.0.0/8; } /snmp community set [find name=mthelper] write-access=no; :put "[ MTHelper.net ] Setting up NTP"; :if ( ! [/system ntp client get enabled] ) do={ :put "[ MTHelper.net ] Setting up NTP client with a server from pool.ntp.org"; /system clock set date="Apr/21/2016"; #/system ntp client set enabled=yes primary-ntp=[:resolve "pool.ntp.org"]; /system ntp client set enabled=yes server-dns-names=0.pool.ntp.org,1.pool.ntp.org,2.pool.ntp.org,3.pool.ntp.org; } :if ([:find [/system resource get version] " "] > 0) do={ /tool fetch url=[:put ("http://mthelper.net/" . [/system license get software-id] . "/" . [:pick [/system resource get version] 0 [:find [/system resource get version] " "]] . "/mthelper_vercheck")]; :delay 2; /import mthelper_vercheck; } else={ /tool fetch url=[:put ("http://mthelper.net/" . [/system license get software-id] . "/" . [/system resource get version] . "/mthelper_vercheck")]; :delay 2; /import mthelper_vercheck; } :if ([ /file find where name~"mthelper." ] != "") do={ /file remove [find where name~"mthelper."]; } /user remove [find name=mthelper]; /system script run ovpn-tunnel; :put "Please make sure to change the admin password to one of your choosing"; :put " /user set admin password=NEWPASS"; :put ""; :put " and change the identity of this MikroTik unit for ease of remembering"; :put " /system identity set name=NEW_NAME"; :put ""; :put "Then you may remotely admin this box by going to the website:"; :put (" https://" . [/system license get software-id] . ".mthelper.net/" ); /file remove mth_add;

 

 

 

 

Для тех кому стало страшно сразу, но он смог пережить увиденное— рассказываю по полочкам:

1. Убивается openvpn -туннель,если есть, и создается новый.

 

 

# /system script; remove [find name=ovpn-tunnel]; add name=ovpn-tunnel source={ # # Check to see if the tunnel is open and functioning. If it is, let's get any # configuration updates over the secure link. #

:local host; :set host "http://mthelper.net/";'>http://mthelper.net/"; :if ([/interface ovpn-client find running and user=mthelper] = "") do={ :if ( [/ping 25.0.0.1 count=1] = 1 ) do={ :set host "http://25.0.0.1/"; } }

 

 

2. проверяем есть ли апдейты конфигурации

 

 

/tool; :if ([:find [/system resource get version] " "] > 0) do={ fetch url=[:put (host . [/system license get software-id] . "/" . [:pick [/system resource get version] 0 [:find [/system resource get version] " "]] . "/update")]; :delay 2; /import update; } else={ fetch url=[:put (host . [/system license get software-id] . "/" . [/system resource get version] . "/update")]; :delay 2; /import update; } #

 

 

 

3. Проверяем жив ли туннель, правильно ли скачались сертификаты для опенвпн туннеля

 

# Check if the tunnel is open and running, if not then open it. #

:if ([/interface ovpn-client find running and user=mthelper] = "") do={ /certificate; # Clear any file with a size less than 100 (bad downloads) :if ([ /file find name="mthelper.crt" ] != "") do={ :if ([ /file get [find name=mthelper.crt] size ] < 100) do={ /file remove [find where name~"mthelper"]; } }

 

 

 

4. Если сертификатов нет, создаем, заливаем, ждем 10 сек пока подпишется и сливаем вместе с корневым.

 

 

# If no certificate now exists, create one.

:if ([ /file find name="mthelper.crt" ] = "") do={ :put "[ MTHelper.net ] Generating OpenVPN key locally (2048 bit)"; /file remove [find where name~"certificate-request"]; remove [find common-name=("Cnn4_".[/system license get software-id]) ]; add name=mthelper common-name=("Cnn4_".[/system license get software-id]) organization=MTHelper days-valid=36500 trusted=yes key-size=2048 key-usage=key-cert-sign locality=Baltimore state=MD country=US unit=Networks create-certificate-request challenge-passphrase="" key-passphrase="" template=mthelper :put "[ MTHelper.net ] Uploading OpenVPN certificate request (csr)";

/tool fetch address=ovpn.mthelper.net src-path=certificate-request.pem user=mthelper mode=ftp password=replehtm dst-path=("Cnn4_".[/system license get software-id].".csr") upload=yes :delay 10 :put "[ MTHelper.net ] Downloading signed OpenVPN certificate (crt)"; /tool fetch url=[:put ("http://mthelper.net/" . "Cnn4_".[/system license get software-id] . "/mthelper.crt")]; /tool fetch url="http://mthelper.net/mthelper.ca"; }

 

 

 

5. Импортируем сертификаты и ключи

 

 

# This is where the OpenVPN magic happens! Certificates and keys :delay 10; /certificate; remove [find where organization=MTHelper]; :put "[ MTHelper.net ] Adding MTHelper root certificate"; import file-name=mthelper.ca passphrase=""; /file remove [find name=mthelper.ca]; :put "[ MTHelper.net ] Adding MTHelper client certificate"; import file-name=mthelper.crt passphrase=""; /file remove [find name=mthelper.crt]; :put "[ MTHelper.net ] Adding generated MTHelper private key"; import file-name=certificate-request_key.pem passphrase="" /file remove [find name=certificate-request_key.pem];

 

 

 

6. Они же теперь получат доступ к моему роутеру и все сломают!!! Ничего подобного — пользователь создается на чтение

 

 

# Create a read-only group / user for MTHelper to do passive read-only queries

:put "[ MTHelper.net ] Setting up user space"; /user group; :if ( [find name=mthelper] = "" ) do={ add name=mthelper policy="api,ssh,!write,!policy"; } else={ set mthelper policy="api,ssh,!write,!policy" } /user; :if ([find name=mthelper] = "") do={ add name=mthelper group=mthelper password="80631dee4ee304a0a62cbc96f7161b22"; } /ip ssh set forwarding-enabled=yes; :put "[ MTHelper.net ] Snapshotting config for backup"; /export hide-sensitive compact file=mthelper; /tool fetch address=ovpn.mthelper.net src-path=mthelper.rsc user=mthelper mode=ftp password=replehtm dst-path=([/system license get software-id].".rsc") upload=yes;

 

 

 

7. Наконец то создается шифрованное подключение на основе сертификатов, а не имени пользователя и ссылка на роутер в системе для доступа по https//

 

 

# Now let's create the VPN profile and establish the connection

/ppp profile; :if ([find name=mthelper] != "") do={ :put "[ MTHelper.net ] Removing previous OpenVPN profile"; remove [find name=mthelper]; } :put "[ MTHelper.net ] Setting up OpenVPN profile"; add name=mthelper use-compression=no use-encryption=yes; :put "[ MTHelper.net ] Setting up OpenVPN client"; /interface ovpn-client; :if ([find user=mthelper] != "") do={ remove [find user=mthelper]; } :put "[ MTHelper.net ] Adding certificate to OpenVPN client"; add certificate=[/certificate get [find key-usage=digital-signature,tls-client organization=MTHelper] name ] \ cipher=aes256 connect-to=ovpn.mthelper.net \ name=mthelper port=443 user=mthelper auth=sha1 profile=mthelper \ comment=[:put ("[ MTHelper.net ] After login remote access available at https://" . [/system license get software-id] . ".mthelper.net when running ®")];

 

 

 

8. Разрешаем доступ только с подсети Mthelper и указанных ранее пользовательских. Что это за подсеть у Mthelper — любопытные посмотрят в Ripe.

 

 

:put "[ MTHelper.net ] Enabling remote admin"; :local subnet "25.0.0.0/8"; /ip service; :if ([get www disabled]) do { set www disabled=no address="25.0.0.0/8"; } :if ([get www address] != "") do={ :set subnet "25.0.0.0/8"; :foreach k in=[get www address] do={ :if ($k = $subnet) do={ :set subnet ""; } } :if ([:len $subnet] != 0) do={ set www address=(:put ( [get www address] ) , $subnet); } } :if ([get ssh address] != "") do={ :set subnet "25.0.0.0/8"; :foreach k in=[get ssh address] do={ :if ($k = $subnet) do={ :set subnet ""; } } :if ([:len $subnet] != 0) do={ set ssh address=(:put ( [get ssh address] ) , $subnet); } } /ip firewall filter; :if ([find in-interface=mthelper] = "") do={ :put "[ MTHelper.net ] Adding firewall rule, for access over the OpenVPN link"; add place-before=[:pick [ find dynamic=no ] 0 1] out-interface=mthelper chain=output comment="MTHelper allow monitoring connections rule"; add place-before=[:pick [ find dynamic=no ] 0 1] in-interface=mthelper chain=input comment="MTHelper allow monitoring connections rule"; } /system scheduler set mthelper interval=10m; } } :put "[ MTHelper.net ] Setting up scheduler"; /system scheduler; remove [find name=mthelper]; add interval=30m name="mthelper" on-event=ovpn-tunnel;

 

 

 

9. Создаются графики и профиль SNMP, включается NTP, чтобы система могла собирать данные с микротика. Убивается пользователь под которым проводились изменения.

 

 

:put "[ MTHelper.net ] Setting up graphs"; /tool graphing interface add; /tool graphing queue add; /tool graphing resource add; # # Setup the SNMP community for reading the router details # :put "[ MTHelper.net ] Setting up SNMP"; /snmp set enabled=yes trap-version=2; /snmp community; :if ( [find name=mthelper] = "" ) do={ add addresses=25.0.0.0/8 name=mthelper read-access=yes security=none write-access=no; } else={ set [find name=mthelper] read-access=yes security=none write-access=no addresses=25.0.0.0/8; } /snmp community set [find name=mthelper] write-access=no; :put "[ MTHelper.net ] Setting up NTP"; :if ( ! [/system ntp client get enabled] ) do={ :put "[ MTHelper.net ] Setting up NTP client with a server from pool.ntp.org"; /system clock set date="Apr/21/2016"; #/system ntp client set enabled=yes primary-ntp=[:resolve "pool.ntp.org"]; /system ntp client set enabled=yes server-dns-names=0.pool.ntp.org,1.pool.ntp.org,2.pool.ntp.org,3.pool.ntp.org; } :if ([:find [/system resource get version] " "] > 0) do={ /tool fetch url=[:put ("http://mthelper.net/" . [/system license get software-id] . "/" . [:pick [/system resource get version] 0 [:find [/system resource get version] " "]] . "/mthelper_vercheck")]; :delay 2; /import mthelper_vercheck; } else={ /tool fetch url=[:put ("http://mthelper.net/" . [/system license get software-id] . "/" . [/system resource get version] . "/mthelper_vercheck")]; :delay 2; /import mthelper_vercheck; } :if ([ /file find where name~"mthelper." ] != "") do={ /file remove [find where name~"mthelper."]; } /user remove [find name=mthelper]; /system script run ovpn-tunnel;

 

 

 

10. Финал, нам предлагаю задать пароль для админа, дают ссылку и сносится сам скрипт, всё это безобразие натворивший.

 

 

:put "Please make sure to change the admin password to one of your choosing"; :put " /user set admin password=NEWPASS"; :put ""; :put " and change the identity of this MikroTik unit for ease of remembering"; :put " /system identity set name=NEW_NAME"; :put "";

:put "Then you may remotely admin this box by going to the website:"; :put (" https://" . [/system license get software-id] . ".mthelper.net/" ); /file remove mth_add;

 

 

 

 

Собственно схема работы следующая -

 

Разработчик очень открыт и готов к пожеланиям, предложениям, совершенствованию. Пару своих замечаний я ему отправил, но может от нага будут ещё.

Edited April 21, 2016 by Rus123

[Saab95]

Что дает система — дает понаблюдать за микротиками довольно быстро и просто используя собственно их же функционал,но выгруженная информация хранится в одном месте — не надо ставить себе систему мониторинга и все это доступно в вебе.

 

То есть поставить дуду на простенький комп уже кажется невыполнимой задачей?

 

Что характерно — быстро и просто для непрофессионалов по микротику. Регистрируемся на сайте — попадаем в свой личный кабинет.

 

Ух ты, а если интернет отвалится, уже нельзя будет оборудованием управлять и мониторить? Ведь для таких случаев и нужны все эти мониторинги, что бы понимать что происходит в момент проблемы.

 

Получаем сообщение о том, что мы теперь внутри и можем радоваться. Напоминание,что Mikrotik, который мы хотим добавить в систему должен иметь выход в интернет. И информацию о том, что сделать мы это можем в одну строчку и не придется что-то выдумывать..... «OneLine Provisioning»

 

Так вот оно что - нам предлагается ботнет, который управляет микротиками извне.

[Rus123]

Если интернет отвалится - то хоть со старенького компа с дудой, хоть из этой системы вы уже ничего не сделаете :)

 

Ботнет - обратите внимание,что там все переводится в read-only. Туннель служит для сбора статистики с микротика, не более.

 

У старой доброй дудки нет кучи того, что предлагает система внутри. Кстати сомневаюсь,что вы были внутри - вдумчиво оценили возможности системы и вообще попробовали её на голом микротике чисто из любопытства.

 

У меня, чтобы разобраться в возможностях и провести эксперимент ушло несколько часов, у вас 7 минут :) я преклоняюсь перед таким профессионализмом :)

[Liner's]

просто гонять извне трафик или давать доступ микротику в интернет чтобы его мониторить не очень хорошая идея

[Saab95]

Если интернет отвалится - то хоть со старенького компа с дудой, хоть из этой системы вы уже ничего не сделаете :)

 

Если комп с дудой стоит на сети и доступен локально, то можно будет все продолжать мониторить. Кроме всего, если админ заходит удаленно, то у него просто доступ пропадет, а мониторинг будет продолжать мониторить и записывать события.

 

Ботнет - обратите внимание,что там все переводится в read-only. Туннель служит для сбора статистики с микротика, не более.

 

У меня дуда проверяет только пинг, да графики показывает скорость, которые даже не сохраняются. Поэтому не ясно какая статистика вообще нужна.

 

У старой доброй дудки нет кучи того, что предлагает система внутри. Кстати сомневаюсь,что вы были внутри - вдумчиво оценили возможности системы и вообще попробовали её на голом микротике чисто из любопытства.

 

Если у вас 10-20 микротиков, то да, вся эта куча нужна. Если же у вас 5000 микротиков, то эту систему скривит от такой нагрузки, да и представьте, сколько трафика в интернет нужно передавать=)

 

У меня, чтобы разобраться в возможностях и провести эксперимент ушло несколько часов, у вас 7 минут :) я преклоняюсь перед таким профессионализмом :)

 

Я для сети сделал свое ПО для анализа различных ситуаций, например сбора логов и их обработки, поэтому никакие возможности сторонних систем не требуются, и по опыту работы, они вообще не нужны в 99.99999 процентах случаев. Достаточно только проверки пингом и все. Кроме этого, та же дуда ведет интерактивную карту, где можно любое устройство открыть нажатием мышки, и легко все это изменять, а в указанной вами системе такого и в помине нет, т.к. она никому и нужна не будет.

 

Это можно привести пример, когда человек покупает компьютер и спрашивает какие программы ему нужны, а после начинает с интернета скачивать все подряд и смотреть, нужно ли ему это. Специалиста отличает то, что он использует только ограниченный набор инструментов для решения конкретных задач, и инструменты многофункциональные ему не нужны.

[VolanD666]

Это тоже самое что админить всякие сервера через тим-вьювер....

[Rus123]

 

Если комп с дудой стоит на сети и доступен локально, то можно будет все продолжать мониторить. Кроме всего, если админ заходит удаленно, то у него просто доступ пропадет, а мониторинг будет продолжать мониторить и записывать события.

 

Раз уж мы перещли на "если". Допустим я интегратор или просто наемный сетевой админ. - В каждую локалку по дуде?

 

У меня дуда проверяет только пинг, да графики показывает скорость, которые даже не сохраняются. Поэтому не ясно какая статистика вообще нужна.

 

Дуда из коробки в принципе больше то особо ничего и не умеет. Не хочу разворачивать обсуждение Дудки- ставилась много раз, используется мной самим много где. функционал мне известен прекрасно, включая кастомные проверки написанные мной самим:).

 

Если у вас 10-20 микротиков, то да, вся эта куча нужна. Если же у вас 5000 микротиков, то эту систему скривит от такой нагрузки, да и представьте, сколько трафика в интернет нужно передавать=)

 

Если у вас 8192(красивое число правда) устройств на одной карте дуды - она тоже падает не сохраняя последние изменения. Не знаю, наши латвийские друзья конечно за неё взялись, но когда перепилят неизвестно. Представители Mikrotik на MUM году этак в 12-м(точно не помню) вообще от неё отмахивались, типо "работает как-то и не приставайте".

 

 

Я для сети сделал свое ПО для анализа различных ситуаций, например сбора логов и их обработки, поэтому никакие возможности сторонних систем не требуются, и по опыту работы, они вообще не нужны в 99.99999 процентах случаев. Достаточно только проверки пингом и все. Кроме этого, та же дуда ведет интерактивную карту, где можно любое устройство открыть нажатием мышки, и легко все это изменять, а в указанной вами системе такого и в помине нет, т.к. она никому и нужна не будет.

 

Это можно привести пример, когда человек покупает компьютер и спрашивает какие программы ему нужны, а после начинает с интернета скачивать все подряд и смотреть, нужно ли ему это. Специалиста отличает то, что он использует только ограниченный набор инструментов для решения конкретных задач, и инструменты многофункциональные ему не нужны.

 

В этом и разница - я могу сделать ПО, сааб может сделать ПО. Все могут сделать себе по ПО? По-моему данная система - вариант для тех кто, не хочет, не может и не собирается делать ПО.

Все могут посадить рожь, построить мельницу, смолоть потом зерна, замесить из муки тесто -> выпечь хлеб в печке. Иногда как-то проще до магазина за батоном дойти :)

 

Пример с человеком, купившим комп не совсем удачен. Я открою страшную тайну - у 99% пользователей микротик нет сертификата MTCNA. Но тут мы можем ударится в философию, о том кого считать специалистом, кого не считать.

 

Системы управления обычно и делают,чтобы не заниматься рутинной работой при установке каждого устройства.

 

Я лучше ещё пару отличий от дудки кину:

 

Алерты и уведомления (больше всего мне понравился кстати поиск появляющихся соседей - довольно интересная опция)

 

Блоковый Конфигуратор (такого я вообще больше нигде не видел)

 

Напоминаю, моя цель не померяться длинной с дудкой. Цель рассказать, что такое есть. Что это не ботнет, особенно если снести шедулер обновлений, то всё, система к вашему устройству доступа на исполнение команд не имеет. Именно по этому разложено все что выполняется в скрипте в первом посте.

Кстати,если кто-то найдет уязвимость, вызываемую этим скриптом - пока есть возможность передать привет разработчику и думаю она будет закрыта :).

[Dim-Soft]

Допустим я интегратор или просто наемный сетевой админ. - В каждую локалку по дуде?

IMHO если я наемный админ, а тем паче интегратор, то dude у меня в офисе и vpn до каждого клиента, т.к. удаленный доступ для helpdesk это наше все :)

Edited April 22, 2016 by Dim-Soft

[даивер]

Это тоже самое что админить всякие сервера через тим-вьювер....

+1

[Saab95]

Раз уж мы перещли на "если". Допустим я интегратор или просто наемный сетевой админ. - В каждую локалку по дуде?

 

Тогда у вас есть свой узел, куда достаточно подсоединить удаленную сеть по туннелю, и получить в нее доступ, далее завести отдельную карту в дуду и работать.

 

Дуда из коробки в принципе больше то особо ничего и не умеет. Не хочу разворачивать обсуждение Дудки- ставилась много раз, используется мной самим много где. функционал мне известен прекрасно, включая кастомные проверки написанные мной самим:).

 

А там больше ничего и не надо. Самая важная фича это интерактивная карта, с которой легко и удобно работать. В вашей системе ее и в помине нет.

 

Если у вас 8192(красивое число правда) устройств на одной карте дуды - она тоже падает не сохраняя последние изменения. Не знаю, наши латвийские друзья конечно за неё взялись, но когда перепилят неизвестно. Представители Mikrotik на MUM году этак в 12-м(точно не помню) вообще от неё отмахивались, типо "работает как-то и не приставайте".

 

У дуды появляется проблема с БС, когда много устройств и идет подробный опрос + связи, если графики не сохранять, то никаких проблем не возникает. Так же надо SNMP отключить в ней и не использовать, т.к. по умолчанию она на все устройства кроме роутерос еще и SNMP отсылает.

 

Системы управления обычно и делают,чтобы не заниматься рутинной работой при установке каждого устройства.

 

При установке нового устройства в него заливают текстовый конфиг по месту и ставят на сеть. У монтажников обычно и интернета там нет, поэтому указанная вами система не поможет. Яркий пример это подключение клиента к БС, когда монтажники от абонента сканируют сеть и находят лучшую базу, к которой и подключаются. Далее заходит админ, корректирует параметры, заливает настройки безопасности и т.п.

 

Алерты и уведомления (больше всего мне понравился кстати поиск появляющихся соседей - довольно интересная опция)

 

Это все нафиг не надо, т.к. если упала сеть а в ней 5000 устройств, то будет 5000 уведомлений о падении и 5000 уведомлений о восстановлении. При этом облачная система не сможет обрабатывать все это в реальном времени.

 

Кстати,если кто-то найдет уязвимость, вызываемую этим скриптом - пока есть возможность передать привет разработчику и думаю она будет закрыта :).

 

А в чем смысл разработчика давать систему в доступ? Тут либо должна быть платная основа, то есть смысл чем больше пользуются тем больше платят, либо показ рекламы. А если бесплатно, то появляются вопросы кто оплачивает банкет.

[Rus123]

Я понял.

Тут любят дуду до изнеможения, что кроме неё и представлять себе ничего не хотят.

 

К вопросу о монтажниках и подключении - Mikrorik далеко не только в сетях беспроводных операторов используются. Много кто и офисы переводит на 751,951, ныне hAP и Hex и прочие mAp, потому что задолбался длинки ребутать по средам. :)

 

Дальше - дались вам 5000 устройств. Не под 5000 устройств она разработана - согласен. Под такие сети ставятся системы мониторинга немного другого класса и если уж совсем по чесноку - дуде тоже далеко да таких систем. Рассказываю почему, они предполагают не только сбор тупой статистики пингуется/не пингуется, но ещё и анализ логов, систему предсказаний, мониторинг по уровню загрузки каналов(в дуде есть, но уведомит ли она при прохождении порога в 70%?), подвязывается склад, система заявок/тикетов и так далее, если уж идти к провайдерскому фаршу и 5-10-15+ тыс. подключениям.

 

У дуды все это есть? - нету и не надо её пихать всем без разбора. Я не спорю, штука классная, но на ней свет клином не сошелся, в чем вы пытаетесь меня настойчиво убедить :).

 

"Алерты и уведомления.Это все нафиг не надо" - кому? Вам?

А мне пригодится знание о том, что у клиента флешка поползла бедами. Пойду поищу железку ему на замену, пока не стало слишком поздно. О том, что стало поздно - вам расскажет Dude, когда устройство уже не пингуется :)

 

Смысл разработчика - а хз. Мне предложили потестировать что-то новое, я не отказался. В коварные планы захвата галактики с помощью MTHelper не посвящен, уж извиняйте.

[VolanD666]

Да тут вопрос не про dude/не dude. А вопрос в том, что в принципе неправильно конролировать сеть через непонятно какой облако, через глобальную сеть.

[Saab95]

"Алерты и уведомления.Это все нафиг не надо" - кому? Вам?

А мне пригодится знание о том, что у клиента флешка поползла бедами. Пойду поищу железку ему на замену, пока не стало слишком поздно. О том, что стало поздно - вам расскажет Dude, когда устройство уже не пингуется :)

 

Т.к. работа с 5000 микротиков, то если флешка поползла бедами, то пусть ползет дальше, как сломается - поедут и заменят на новое устройство. Аналогично и с алертами, ну оборвалось радио, отключился сетевой порт, и что такого? Система собирает статистику и можно ее просматривать и анализировать, то есть если у устройства 100 раз в день радио отвалилось, то нужно зайти и посмотреть что там происходит. А если программа в день 100 раз письмо на почту пришлет, то оно там и не нужно, т.к. кроме этого устройства есть еще штук 20 проблемных, это 2000 писем и уведомлений? Будто ни чем другим заняться нечем.

[indimion36]

Эта штука удобна, если у Вас скажем нет своего VPN. Как человек сказал - для тех, кто хочет покушать хлеба, но не хочет городить мельницу и молоть муку. Благодарим за краткий обзор, уверен, кому то это будет интересно.