Утратил доступ к MikroTik из WAN и LAN через WinBox (Router OS 6.47.1) - взломали?

[xvo]

Подождите, я думал он у вас к себе не логинится именно в RouterOS.
А cpu, disk и memory - это вроде функции от SNMP'шных oid'ов.
SNMP нем вообще включен?
И соответственно правило в firewall'е должно быть не только на tcp/8291 но и на udp/161, вы его тоже добавили?

[Alex_2019]

Подождите, я думал он у вас к себе не логинится именно в RouterOS.
А cpu, disk и memory - это вроде функции от SNMP'шных oid'ов.
SNMP нем вообще включен?
И соответственно правило в firewall'е должно быть не только на tcp/8291 но и на udp/161, вы его тоже добавили?

Благодарю за предвосхищение моего вопроса. Мой основной микротик RB1100AHx4 Dude Edition (RB1100Dx4) имеет на своих физических портах 4 разные подсети. Из них к двум The DUDE логинится, а к двум не логинится именно в RouterOS. Как такое может быть я никак не пойму.

Экспериментировал с файрволом и заметил, что правило блокирования всех неразрешенных UDP в направлении Output приводил к блокированию части функций The Dude.
Уже были прописаны в firewall'е (как вы рекомендовали раньше) для функционирования TheDude
- input на tcp/8291
- input и output на udp/161

Методом подбора я выяснил, что нужно ДОПОЛНИТЕЛЬНО разрешать :
- в направлении OUTPUT
UDP 53 (без него The DUDE ругается, что DNS не работает)
UDP 137-139 (на NetBios ругался The DUDE пока не разрешил)
- в направлении INPUT:
UDP 137-139 (счетчик примерно в 2,5 раза больше насчитывает, чем в направлении Output) - меня несколько смущает, что я разрешил Input со всех интерфейсов, видимо нужно будет ограничить только из локалки и Vpn-шлюзов

Но этих разрешений недостаточно оказывается! Когда вконце списка в файрволе вписано drop output udp drop , то счетчик довольно быстро увеличивает число пакетов (десятки тысяч за несколько часов). Когда запрещающее правило стоит, то The Dude в число неработающих cpu, memory, disk, добавляет dns. плюс выскакивает сообщение: Service dns ... is now down.
Возникает ВОПРОС: какой еще UDP порт нужно открыть?

Но что интересно, на некоторые подсети (на две из 4-х) сервис routeros managment работает (зеленый), а на две - красный! И среди красных как раз подсеть которая с буквенным именем, и та что 10.10.**.1
Видимо в этом основная причина, по которой статистика не собирается. Каждая подсеть на разном бридже. Сравнивал настройки бриджей - вроде все одинаково у меня... Значит не всё, но не пойму куда именно смотреть.
ВОПРОС:видимо в NAT нужно что-то прописать корректно.
У меня счетчик на правиле показывает мало десятков пакетов за много часов, видимо не совсем то прописал, что нужно
(src-nat srcnat tcp 8291 out-interface list LAN To address 192.168.**.1 -здесь указал ту подсеть которая как бы основная у меня). Но это правило фактически и не работает. Что-то неверно я понимаю.

---
По поводу включения SNMP на основном микротике:
сервис SNMP Enabled галочка стоит
Trap Community = MikroTik DUDE (и это имя высвечивается вместо одного из внутренних IP адресов роутера при просмотре настроек сервера The DUDE.
Trap Version =2
Trap Generators = temp-expection (либо можно выбрать interfaces, start-trap)
Trap Interfaces = перечислены четыре бриджа (для всех четырех подсетей на данном микротике)
Src. Address = :: (два двоеточия подряд)

[xvo]

А зачем вы вообще ему в output'е что-то ограничиваете?

[Alex_2019]

А зачем вы вообще ему в output'е что-то ограничиваете?

Пытался ограничивать в output'е только по причине того, что в каких то видео-курсах, которые смотрел, увидел совет и повторил его. Совет звучал примерно так: "запрещаем всё что не разрешено".
По факту я вынужден отключать эту строчку, т.к. она "мешает жить".
Если этот запрет я неверно истолковал как помогающий повысить какую то безопасность компьютера, то я его отключу навсегда, чтобы не создавать лишней нагрузки на процесор Микротика.

Upd. Выявил явную проблему:
Перечитал статью про настройку The DUDE https://gregory-gost.ru/sozdanie-domash ... k-monitor/
И запустил tools - SNMP Walk.
На "зелёных" на карте микротиках этот инструмент рисует дерево с многими буковками, а на "буром" микротике SNMP Walk ничего не находит, то есть нет доступа. А причину не понимаю.

[xvo]

Ну а какую безопасность это может повысить?
Это же получается роутер сам себе запрещает.

У меня в output'е какое-то время крутились счетчики пакетов на разные interface-list'ы, потом понял, что мне даже этого не надо.

То есть я понимаю, если вам надо какие-то определенные пакеты там отлавливать, при дебаге например, или сообщения в log оттуда.
В принципе и запретить что-то конкретное может понадобиться в теории.

Но всё то зачем запрещать по-умолчанию?
Никакого особого практического смысла в этом просто нет.
Только лишний геморрой и нагрузка на железку.

[Alex_2019]

Ну а какую безопасность это может повысить?
Это же получается роутер сам себе запрещает.
...
Никакого особого практического смысла в этом просто нет.
Только лишний геморрой и нагрузка на железку.

СПАСИБО! Отключил навсегда лишнюю строку в файрволе. Временно оставил правила подсчета пакетов наружу ( с целью отладки).

Выявил явную проблему:
Перечитал статью про настройку The DUDE https://gregory-gost.ru/sozdanie-domash ... k-monitor/
И запустил tools - SNMP Walk.
На "зелёных" на карте микротиках этот инструмент рисует дерево с многими буковками, а на "буром" микротике SNMP Walk ничего не находит, то есть нет доступа. А причину не понимаю.

[xvo]

И запустил tools - SNMP Walk.
На "зелёных" на карте микротиках этот инструмент рисует дерево с многими буковками, а на "буром" микротике SNMP Walk ничего не находит, то есть нет доступа. А причину не понимаю.

Настройки snmp на этом "буром".
Опять же firewall на нем.

[Alex_2019]

И запустил tools - SNMP Walk.
На "зелёных" на карте микротиках этот инструмент рисует дерево с многими буковками, а на "буром" микротике SNMP Walk ничего не находит, то есть нет доступа. А причину не понимаю.

Настройки snmp на этом "буром".
Опять же firewall на нем.

Спасибо за совет про snmp!
Сделал export конфигурации и происзвел поиск по слову "snmp". Нашел, как мне кажется, важное, а именно комментарий в разделе /snmp community, который я написал полгода назад когда настраивал.

/snmp
set enabled=yes trap-generators=interfaces trap-interfaces=\
bridge1_LAN,bridge3_WiFiMik,bridge2_ASUS,bridge5_24h trap-version=2
Здесь вроде все нормально, все четыре бриджа для локальных интерфейсов. 4й бридж у меня для WAN , поэтому его в список не вносил.

/snmp community
set [ find default=yes ] comment=\
"Chage public to MikroTik DUDE (2020-05-16) Trap=2 / nado vnesti spisok Local net." \
name="MikroTik DUDE"
add addresses=::/0 name=IgoMikroTik
add addresses=::/0 name="cAP MikroTik"

Пояснения: надпись "MikroTik DUDE" я вижу при настройке сервера The DUDE вместо одного из адресов 192.168.***.1
IgoMikroTik и "cAP MikroTik" - это удаленный микротик и локальная Wi-Fi точка доступа. Они отрисовываются на карте без проблем, зелёными.
Только с "MikroTik DUDE" возникли сомнения. Я себе написал про необходимость внести что-то в список локальной сети, вероятно не внес.
Я еще не совсем уяснил, переменная "local" где описывается в настройках? Возможно мне нужно прописать, что "MikroTik DUDE" это локальное устройство?

[xvo]

Вот тут, если честно, не смогу дельный совет дать - у меня весь мониторинг только по внутренним сетям бегает, так что все на дефолтных настройках.
Более детально не разбирался.

[Alex_2019]

Вот тут, если честно, не смогу дельный совет дать - у меня весь мониторинг только по внутренним сетям бегает, так что все на дефолтных настройках.
Более детально не разбирался.

Подскажите, пожалуйста, есть ли у вас в настройках сервера The Dude закладка "Address Lists" с закладкой внутри "Agents" также как она нарисована на нижней картинке https://wiki.mikrotik.com/wiki/Manual:T ... _v6/Agents ?