Коллеги, здравствуйте.
Имеется MikroTik RB1100AHx4 Dude Edition, прошивка самая свежая 6.47 . Внутрь установлен SSD диск, на нём установлен The DUDE Server.
Удалённые Микротики типа таких: Mikrotik hAP ac lite , MikroTik cAP ac и т.п.
Клиент The DUDE (в котором рисую карту) стоит на компьютере с Windows, нарисована карта, все красиво, скорости отображаются отлично, всё наглядно.
Но постоянно атакуют сотни компьютеров TCP порт 8291.
Как советуют на форумах сменил порт на нестандартный, на стандартный порт поставил ловушку и всех кто стучится на него отправляю в бан. Свои IP внес в белый список, чтобы случайно не отправить в бан свои микротики.
После смены стандартного порта WinBox на другой сразу же покраснели на карте все Микротики.
Вместо цифр со скоростями теперь вопросики.
В логах и настройках Микротика видно, что The DUDE перестал подключаться к к Микротикам. Для The Dude я создал отдельных юзеров с правами только на чтение. И видно, что последний раз вход был перед сменой номера порта.
В настройках The DUDE нет возможности добавть к адресу устройства (IP) еще и порт: отдельного поля нет, при записи в поле адреса устройства типа 12.34.56.78:9874 строчка краснеет и не нажать ОК. Удаляем :9874 - нестандартный порт - адрес принимается.
Прочитал на форумах, что проблема эта известна давно, но так и не решена.
Нашел совет 2015 года https://mikrotik-ukraine.blogspot.com/2 ... inbox.html
"В чудесном продукте от Mikrotik есть один небольшой и непофиксиный баг, а именно, при добавления на карту устройства на ОС RouterOS с нестандартным портом WinBox (не 8291) программа не может подключиться и в разделе функций мониторинга по протоколу RouterOS пусто. В Mikrotik знают об этой проблеме, но почему-то ее не фиксят."
Автор 5 лет назад советовал использовать проброс порта, чтобы не возвращать стандартный порт.
В 2018 году проблема так и не была устранена viewtopic.php?f=1&t=9391
На английском языке обсуждение схожей проблемы https://forum.mikrotik.com/viewtopic.php?t=130020 Dude - Device RouterOS on no-standard Port . Пишут, что развитие The DUDE фактически заморожено.
Автор советует (переведено на русский): "Для решения этой проблемы я использовал простое правило NAT на устройствах, которые я хотел использовать на вкладке RouterOS из The Dude, а именно:
# Enable Dude - RouterOS Access
/ip firewall nat
add action=redirect chain=dstnat comment="Accepts connections via RouterOS - Dude" \
dst-port=8291 protocol=tcp src-address=THE_DUDE_SERVER_IP to-ports=WHATEVER_PORT_YOU_DEFINED
/ip firewall nat move [find comment="Accepts connections via RouterOS - Dude"] 0
Он просто контролирует входные соединения с сервера Dude и, если они совпадают с портом по умолчанию для Winbox (который используется The Dude для подключения к ROS), перенаправляет его на нужный порт."
В 2019 году еще один автор делится своим советом (в переводе на русский):
"На самом деле кажется, что это действительно проблема, но я работал с собственным правилом NAT, где я запрашиваю dst-nat с моего конкретного сервера DUDE на мой конкретный маршрутизатор RouterOS, поэтому, если ему нужен стандартный порт, целевое устройство dst-nats запросы на мой нестандартный порт, и он окончательно разрешается как "RouterOS Status: ok"!
/ip firewall nat add chain=dstnat action=dst-nat to-addresses=<IP-of-my-remote-Mikrotik> to-ports=<non-standard-Winbox-port-of-my-remote-Mikrotik> protocol=tcp src-address=<IP-of-my-dude-server-I-scan-from> dst-address=<IP-of-my-remote-Mikrotik> dst-port=8291
"
В ответ на это некоторые пользователи жалуются, что метод не подходит из-за того, что провайдеры режут порт 8291 (вероятно, чтобы защитить своё оборудование):
"Это хорошее решение, но оно не может работать, когда порт 8291 заблокирован поставщиком. И это именно моя проблема ..."
Интересное видео снял один из столкнувшихся с проблемой The DUDE и нестандартного порта WinBox: https://www.youtube.com/watch?v=J7FKTzks3uA (красивое видео построенной карты The DUDE от октября 2019 года)
Я попробовал повторить советы автора, но у меня не получается, не срабатывают правила почему то - либо ошибаюсь при адаптации, либо новые прошивки по другому реагируют.
Посоветуйте, как подружить The DUDE и нестандартный порт WinBox.
The DUDE и нестандартный порт WinBox
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Все правильно там пишут, единственный вариант NATить 8291 в свой нестандартный номер.
Причем только dst-nat на самих клиентах (ну или на пути к клиентам).
На сервере ничего сделать, увы, не получится.
Причем только dst-nat на самих клиентах (ну или на пути к клиентам).
На сервере ничего сделать, увы, не получится.
Telegram: @thexvo
-
- Сообщения: 76
- Зарегистрирован: 05 окт 2019, 16:08
Благодарю за ответ. Я только не совсем понял как это сделать.
Основная железка и на ней Dude-сервер. Порт WinBox нестандартный.
На ней я так понимаю ничего поменять не можем.
Далее у меня PPTP туннель. На той стороне от основной железки - удаленный Микротик, и тоже нестандатный порт WinBox.
Где мне нужно NATить 8291 в свой нестандартный номер? На удаленном Микротике? Отлавливать запрос к порту 8291 из pptp-туннеля и перекидывать на нестандартный порт?
RB1100AHx4 Dude Edition (RB1100Dx4)
cAP ac (RBcAPGi-5acD2nD)
hAP ac lite (952Ui-5ac2nD)
cAP ac (RBcAPGi-5acD2nD)
hAP ac lite (952Ui-5ac2nD)
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Да, именно так.
А вот заставить сервер мониторить самого себя по нестандартному порту у меня так и не получилось.
Telegram: @thexvo
-
- Сообщения: 1484
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
Я когда-то для мониторинга сервера (когда он отказывался мониторить сам себя) использовал dude агента на другой железке.
Но давно это было сейчас нужно пробовать
Но давно это было сейчас нужно пробовать
1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Отличная идея.
Сейчас хотел попробовать.
Но вылезли некоторые подводные камни: версии ROS на сервере и агенте должны совпадать, для того, чтобы агент мог собирать инфу именно через ROS.
Для SNMP, или если использовать агента для отдельно какого-то сервиса, такого ограничения нет.
Но получается даже пакет dude на агенте ставить не обязательно?
В общем как в притче про маркер: одним маркером можно закрасить весь мир, кроме самого маркера, двумя маркерами можно закрасить весь мир :)
Telegram: @thexvo
-
- Сообщения: 1484
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
Слазил посмотрел, да использовал SNMP не устанавливая дудку. По памяти по моему при каких-то апгрейдах дудка слетела, и я решил не заморачиваться и настроил по SNMP.
зы Нужно попробовать, получается что агентом по SNMP можно использовать даже железку на которую дудки нету.
зы Нужно попробовать, получается что агентом по SNMP можно использовать даже железку на которую дудки нету.
1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Это 100% можно, проверил уже.Ca6ko писал(а): ↑28 июн 2020, 12:54 Слазил посмотрел, да использовал SNMP не устанавливая дудку. По памяти по моему при каких-то апгрейдах дудка слетела, и я решил не заморачиваться и настроил по SNMP.
зы Нужно попробовать, получается что агентом по SNMP можно использовать даже железку на которую дудки нету.
Так же как и просто пинговать, проверять dns, ходить по http и т.д. - этим давно пользуюсь.
Так вот оказывается, что начиная с какой-то версии и для того, чтобы быть ROS агентом, тоже не надо дудку на агента ставить, и единственное условие, чтобы версии ROS на сервере и агенте совпадали.
Telegram: @thexvo
-
- Сообщения: 76
- Зарегистрирован: 05 окт 2019, 16:08
Может кто знает ответ, почему DUDE-сервер не может залогиниться с микротиками, на которых настроено в файрволе forward -invalid drop ?
Моему DUDE-серверу (стоит в Питере) не удавалось соединиться с крымским микротиком по sstp туннелю, т.к. мешало включенное правило Дропать Инвалидный Форвард! Не понимаю причину, но на остальных микротиках столкнулся ранее с той же сложностью, описаний данной проблемы не увидел, вычислил путём отключения всех запрещающих правил и постепенным их включением. Пришлось на всех микротиках отключить эти строчки в файрволе.
Моему DUDE-серверу (стоит в Питере) не удавалось соединиться с крымским микротиком по sstp туннелю, т.к. мешало включенное правило Дропать Инвалидный Форвард! Не понимаю причину, но на остальных микротиках столкнулся ранее с той же сложностью, описаний данной проблемы не увидел, вычислил путём отключения всех запрещающих правил и постепенным их включением. Пришлось на всех микротиках отключить эти строчки в файрволе.
RB1100AHx4 Dude Edition (RB1100Dx4)
cAP ac (RBcAPGi-5acD2nD)
hAP ac lite (952Ui-5ac2nD)
cAP ac (RBcAPGi-5acD2nD)
hAP ac lite (952Ui-5ac2nD)
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Не сталкивался с таким.
Тем более странно, что речь про forward.
Тем более странно, что речь про forward.
Telegram: @thexvo