Утратил доступ к MikroTik из WAN и LAN через WinBox (Router OS 6.47.1) - взломали?

Раздел для тех, кто начинает знакомиться с MikroTik
Правила форума
Как правильно оформить вопрос.
Прежде чем начать настройку роутера, представьте, как это работает. Попробуйте почитать статьи об устройстве интернет-сетей. Убедитесь, что всё, что Вы задумали выполнимо вообще и на данном оборудовании в частности.
Не нужно изначально строить Наполеоновских планов. Попробуйте настроить простейшую конфигурацию, а усложнения добавлять в случае успеха постепенно.
Пожалуйста, не игнорируйте правила русского языка. Отсутствие знаков препинания и неграмотность автора топика для многих гуру достаточный повод проигнорировать топик вообще.

1. Назовите технологию подключения (динамический DHCP, L2TP, PPTP или что-то иное)
2. Изучите темку "Действия до настройки роутера".
viewtopic.php?f=15&t=2083
3. Настройте согласно выбранного Вами мануала
4. Дочитайте мануал до конца и без пропусков, в 70% случаев люди просто не до конца читают статью и пропускают важные моменты.
5. Если не получается, в Winbox открываем терминал и вбиваем там /export hide-sensitive. Результат в топик под кат, интимные подробности типа личных IP изменить на другие, пароль забить звездочками.
6. Нарисуйте Вашу сеть, рисунок (схему) сюда. На словах может быть одно, в действительности другое.
Ответить
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Alex_2019 писал(а): 08 сен 2020, 23:19 Мне не удалось (не понимаю почему) сервер DUDE успешно опрашивать микротик на котором живёт Дюде.
Вот такие пару правил ему в firewall добавьте:

Код: Выделить всё

/ip firewall filter
add action=accept chain=input comment="allow dude winbox and SNMP to self" dst-address-type=local dst-port=8291 protocol=tcp src-address-type=local
add action=accept chain=input dst-address-type=local dst-port=161 protocol=udp src-address-type=local


Telegram: @thexvo
Вернуться к началу
Alex_2019
Сообщения: 76
Зарегистрирован: 05 окт 2019, 16:08

xvo писал(а): 08 сен 2020, 23:59
Alex_2019 писал(а): 08 сен 2020, 23:19 Мне не удалось (не понимаю почему) сервер DUDE успешно опрашивать микротик на котором живёт Дюде.
Вот такие пару правил ему в firewall добавьте:

Код: Выделить всё

/ip firewall filter
add action=accept chain=input comment="allow dude winbox and SNMP to self" dst-address-type=local dst-port=8291 protocol=tcp src-address-type=local
add action=accept chain=input dst-address-type=local dst-port=161 protocol=udp src-address-type=local
ОГРОМНОЕ СПАСИБО за точный совет!
Добавил данное правило, поставил выше правил, которые блокируют Всё. Ничего не изменилось, а счётчики по нулям. Посмотрел внимательно что еще могло мешать - у меня еще есть правило в файрволе дропать инвалидный трафик. Поставил выше того правила - счетчик стал срабатывать!
Такое ощущение, что Микротик почему то относит к инвалидному трафику запросы The DUDE.
Но пока что The DUDE не удается опросить тот микротик на котором стоит. Удаленные микротики успешно мониторит, рисует размер памяти, загрузку процессора и диска.

Пробовал отключать оба блокирующих правила invalid - не помогло.

Продолжаю искать решение как заставить The DUDE опрашивать тот микротик на котором установлен, чтобы сохранялись логи загруженности основного Микротика RB1100AHx4 Dude Edition (RB1100Dx4).


RB1100AHx4 Dude Edition (RB1100Dx4)
cAP ac (RBcAPGi-5acD2nD)
hAP ac lite (952Ui-5ac2nD)
Вернуться к началу
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

У пользователя под которым DUDE сам на себя заходит прав достаточно?
Нужны такие: telnet,reboot,read,write,test,winbox,sniff,dude
В последних версиях добавилось winbox, раньше не нужно было.


Telegram: @thexvo
Вернуться к началу
mex79
Сообщения: 26
Зарегистрирован: 22 мар 2017, 12:26

Случаем нет ограничения доступа по ip в сервисах для winbox?


Вернуться к началу
Alex_2019
Сообщения: 76
Зарегистрирован: 05 окт 2019, 16:08

xvo писал(а): 09 сен 2020, 12:00 У пользователя под которым DUDE сам на себя заходит прав достаточно?
Нужны такие: telnet,reboot,read,write,test,winbox,sniff,dude
В последних версиях добавилось winbox, раньше не нужно было.
Спасибо! Совет прямо в точку!
Я не заметил, что права по умолчанию из группы full не включают галочку рядом с dude.
Создал отдельную группу TheDude и вписал все рекомендуемые галочки.

Пока не перезагружал микротик, без перезагрузки пока что не опрашивает самого себя.
Как смогу перезагрузиться, отпишусь помогло или нет.

upd. Перезагрузил роутер полностью. Перезагрузка не помогла.
Добавил полномочий в политиках для пользователя TheDude.
По прежнему удаленные Микротики (которые находятся в сетях с "серым" IP) с "стандартными" настройками файрволов отрисовываются на карте The Dude зелёными, с указанием всех параметров, а на осномом Микротике сведения о микротике по прежнему красные. Только пинги, скорости на интерфейсах отрисовываются, а состояние памяти, диска, процессора - нет сведений, поэтому микротик рисуется на карте "бурым" (между красным и зеленым).
Последний раз редактировалось Alex_2019 09 сен 2020, 15:12, всего редактировалось 1 раз.


RB1100AHx4 Dude Edition (RB1100Dx4)
cAP ac (RBcAPGi-5acD2nD)
hAP ac lite (952Ui-5ac2nD)
Вернуться к началу
Alex_2019
Сообщения: 76
Зарегистрирован: 05 окт 2019, 16:08

mex79 писал(а): 09 сен 2020, 12:01 Случаем нет ограничения доступа по ip в сервисах для winbox?
В разделе IP Service List
winbox
port 8291
Available From вписаны адреса с помощью масок.
В том числе 192.168.0.0/16 и 10.10.10.0/24 и некоторые из 172.16.хх.хх
Остальные - внешние IP.

Мне кажется, что для TheDUDE этого должно быть достаточно.


RB1100AHx4 Dude Edition (RB1100Dx4)
cAP ac (RBcAPGi-5acD2nD)
hAP ac lite (952Ui-5ac2nD)
Вернуться к началу
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Alex_2019 писал(а): 09 сен 2020, 12:47 В разделе IP Service List
winbox
port 8291
Available From вписаны адреса с помощью масок.
В том числе 192.168.0.0/16 и 10.10.10.0/24 и некоторые из 172.16.хх.хх
Остальные - внешние IP.

Мне кажется, что для TheDUDE этого должно быть достаточно.
Вот тут возможно тоже проблема.
Попробуйте добавить 127.0.0.1


Telegram: @thexvo
Вернуться к началу
Alex_2019
Сообщения: 76
Зарегистрирован: 05 окт 2019, 16:08

xvo писал(а): 09 сен 2020, 13:11
Alex_2019 писал(а): 09 сен 2020, 12:47 В разделе IP Service List
winbox
port 8291
Available From вписаны адреса с помощью масок.
В том числе 192.168.0.0/16 и 10.10.10.0/24 и некоторые из 172.16.хх.хх
Остальные - внешние IP.

Мне кажется, что для TheDUDE этого должно быть достаточно.
Вот тут возможно тоже проблема.
Попробуйте добавить 127.0.0.1
Добавил в список разрешенных адресов для сервисов 127.0.0.1
Не помогло.
Заглянул в списки IP файрвола - 127.0.0.1 не заблокирован. На всякий случай внёс его в белый список (не знаю корректно ли это? )
Продолжаю искать "баг" из-за которого не получается The Dude опрашивать основной Микротик.

В логах вижу многократные подключения-отключения пользователя DudeClient с адреса в локальной сети. На данном IP находится компьютер с Windows7 и установленным клиентом TheDude для виндоса.

Sep/09/2020 15:30:36 user DudeClient logged out from 192.168.ххх.хх via winbox
Sep/09/2020 15:30:42 user DudeClient logged in from 192.168.ххх.хх via winbox
Sep/09/2020 15:30:45 снова отключение.
То есть от подключения до отключения 3 секунды, повтор через 6 секунд. И так много раз.


RB1100AHx4 Dude Edition (RB1100Dx4)
cAP ac (RBcAPGi-5acD2nD)
hAP ac lite (952Ui-5ac2nD)
Вернуться к началу
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Alex_2019 писал(а): 09 сен 2020, 15:33 Добавил в список разрешенных адресов для сервисов 127.0.0.1
Не помогло.
Заглянул в списки IP файрвола - 127.0.0.1 не заблокирован. На всякий случай внёс его в белый список (не знаю корректно ли это? )
Продолжаю искать "баг" из-за которого не получается The Dude опрашивать основной Микротик.
В firewall не надо: те правила, которые я изначально кидал, это и есть более или менее аналог, того, чтобы разрешить доступ с 127.0.0.1.

Попробуйте на время вообще отключить встроенную винбоксовскую проверку по доступу, оставьте только в firewall'е. Хотя бы понять в чем именно проблема.

Ещё полезно вот такое правило в NAT добавить:

Код: Выделить всё

/ip firewall nat add action=src-nat chain=srcnat comment="make all dude winbox connections originate from ***ADDRESS***" dst-port=8291 protocol=tcp src-address-type=local out-interface-list=***ALL_LOCAL_AND_VPN_INTERFACES_LIST*** to-addresses=***ADDRESS***


Позволяет потом более точно отлавливать dude'овские пакеты на других машинах, чтобы порт им поменять на нестандартный.
Ну и в этой ситуации возможно поможет.


Telegram: @thexvo
Вернуться к началу
Alex_2019
Сообщения: 76
Зарегистрирован: 05 окт 2019, 16:08

xvo писал(а): 09 сен 2020, 16:00
Alex_2019 писал(а): 09 сен 2020, 15:33 Добавил в список разрешенных адресов для сервисов 127.0.0.1
Не помогло.
...
Продолжаю искать "баг" из-за которого не получается The Dude опрашивать основной Микротик.
...
Попробуйте на время вообще отключить встроенную винбоксовскую проверку по доступу, оставьте только в firewall'е. Хотя бы понять в чем именно проблема.

Ещё полезно вот такое правило в NAT добавить:

Код: Выделить всё

/ip firewall nat add action=src-nat chain=srcnat comment="make all dude winbox connections originate from ***ADDRESS***" dst-port=8291 protocol=tcp src-address-type=local out-interface-list=***ALL_LOCAL_AND_VPN_INTERFACES_LIST*** to-addresses=***ADDRESS***
1. Встроенную винбоксовскую проверку по доступу полностью обнулил. Ничего не изменилось. То что работало продолжило работать, недоступные для опроса сервисы остались недоступными.
2. Версии прошивки на роутере и клиента TheDude на виндос-компьютере совпадают.
3. Создал через Winbox в NAT две строки (одну для группы LAN интерфейсов, вторую для группы VPN-соединений).
Счетчик правила NAT для локальных адресов медленно увеличивается, для VPN - по нулям.

Не совсем понял что указывать в поле to-addresses=***ADDRESS***
я там указал 192.168.хх.1 - один из локальных адресов Микротика на котором стоит сервер The DUDE. Адрес идентичный тому, который стоит в настройках TheDUDE при опросе размера занятой памяти, диска, процессора.

Правильно ли выбрал адрес? Или нужно выбирать адрес того компа на котором стоит TheDude Client приложение?

Upd. Через винбокс посмотрел что видно в меню The DUDE в закладке Resources. Там среди микротиков есть несколько строк с основным микротиком, причем в разных строках совпадает все кроме локального IP адреса . У меня в локалку с микротика смотрит 4 разные IP сетки. Мне непонятно почему три сетки представлены цифрами 192.168.***.1 и 10.10.**.1, а четвертая без IP адреса по присвоенному названию MikroTik RB1100AHx4 Dude Edition
Такое ощущение, что под этим названием скрывается четвертый внутренний IP адрес микротика из 192.168.***.1

Upd.2. Провел эксперимент: отключил сервер The Dude и через минуту включил. Смотрю логи. В них по очереди подключились r TheDude c IP адресов ноутбука с установленным клиентом и со всех имеющихся четырех локальных адресов микротика на котором стоит The Dude сервер.
Все строчки такого вида: user DudeClient logged in from 192.168.***.1 via winbox

Upd.3. Перепроверил правила файрвола, полностью отменял все дропы - не получается заставить The DUDE опрашивать память/диск/процессор, вернул назад до состояния, чтобы все работало у DUDE. Пришлось добавить разрешающих правил (output UDP на соответствующие интерфейсы).

Всё выглядит корректным, а сведения о загрузке процессора, памяти и диска так и не доступны для The Dude :(
Возникает ощущение, что это какой то баг The Dude, из-за которого сервер TheDude не может опрашивать состояние устройства на котором установлен. При просмотре через винбокс закладки DUDE в одной из закладок видно состояние даже температуры Микротика на котором стоит сервер DUDE. Но какой командой заставить опрашивать и сохранять эти сведения никак не пойму.


RB1100AHx4 Dude Edition (RB1100Dx4)
cAP ac (RBcAPGi-5acD2nD)
hAP ac lite (952Ui-5ac2nD)
Вернуться к началу
Ответить

Вернуться в «FAQ (Для начинающих)»