The DUDE и нестандартный порт WinBox

Обсуждение ПО, его настройка и функционал
Ответить
Alex_2019
Сообщения: 76
Зарегистрирован: 05 окт 2019, 16:08

Коллеги, здравствуйте.
Имеется MikroTik RB1100AHx4 Dude Edition, прошивка самая свежая 6.47 . Внутрь установлен SSD диск, на нём установлен The DUDE Server.
Удалённые Микротики типа таких: Mikrotik hAP ac lite , MikroTik cAP ac и т.п.

Клиент The DUDE (в котором рисую карту) стоит на компьютере с Windows, нарисована карта, все красиво, скорости отображаются отлично, всё наглядно.

Но постоянно атакуют сотни компьютеров TCP порт 8291.
Как советуют на форумах сменил порт на нестандартный, на стандартный порт поставил ловушку и всех кто стучится на него отправляю в бан. Свои IP внес в белый список, чтобы случайно не отправить в бан свои микротики.

После смены стандартного порта WinBox на другой сразу же покраснели на карте все Микротики.
Вместо цифр со скоростями теперь вопросики.
В логах и настройках Микротика видно, что The DUDE перестал подключаться к к Микротикам. Для The Dude я создал отдельных юзеров с правами только на чтение. И видно, что последний раз вход был перед сменой номера порта.
В настройках The DUDE нет возможности добавть к адресу устройства (IP) еще и порт: отдельного поля нет, при записи в поле адреса устройства типа 12.34.56.78:9874 строчка краснеет и не нажать ОК. Удаляем :9874 - нестандартный порт - адрес принимается.

Прочитал на форумах, что проблема эта известна давно, но так и не решена.
Нашел совет 2015 года https://mikrotik-ukraine.blogspot.com/2 ... inbox.html
"В чудесном продукте от Mikrotik есть один небольшой и непофиксиный баг, а именно, при добавления на карту устройства на ОС RouterOS с нестандартным портом WinBox (не 8291) программа не может подключиться и в разделе функций мониторинга по протоколу RouterOS пусто. В Mikrotik знают об этой проблеме, но почему-то ее не фиксят."
Автор 5 лет назад советовал использовать проброс порта, чтобы не возвращать стандартный порт.

В 2018 году проблема так и не была устранена viewtopic.php?f=1&t=9391
На английском языке обсуждение схожей проблемы https://forum.mikrotik.com/viewtopic.php?t=130020 Dude - Device RouterOS on no-standard Port . Пишут, что развитие The DUDE фактически заморожено.
Автор советует (переведено на русский): "Для решения этой проблемы я использовал простое правило NAT на устройствах, которые я хотел использовать на вкладке RouterOS из The Dude, а именно:

# Enable Dude - RouterOS Access
/ip firewall nat
add action=redirect chain=dstnat comment="Accepts connections via RouterOS - Dude" \
dst-port=8291 protocol=tcp src-address=THE_DUDE_SERVER_IP to-ports=WHATEVER_PORT_YOU_DEFINED
/ip firewall nat move [find comment="Accepts connections via RouterOS - Dude"] 0

Он просто контролирует входные соединения с сервера Dude и, если они совпадают с портом по умолчанию для Winbox (который используется The Dude для подключения к ROS), перенаправляет его на нужный порт."

В 2019 году еще один автор делится своим советом (в переводе на русский):
"На самом деле кажется, что это действительно проблема, но я работал с собственным правилом NAT, где я запрашиваю dst-nat с моего конкретного сервера DUDE на мой конкретный маршрутизатор RouterOS, поэтому, если ему нужен стандартный порт, целевое устройство dst-nats запросы на мой нестандартный порт, и он окончательно разрешается как "RouterOS Status: ok"!

/ip firewall nat add chain=dstnat action=dst-nat to-addresses=<IP-of-my-remote-Mikrotik> to-ports=<non-standard-Winbox-port-of-my-remote-Mikrotik> protocol=tcp src-address=<IP-of-my-dude-server-I-scan-from> dst-address=<IP-of-my-remote-Mikrotik> dst-port=8291

"
В ответ на это некоторые пользователи жалуются, что метод не подходит из-за того, что провайдеры режут порт 8291 (вероятно, чтобы защитить своё оборудование):
"Это хорошее решение, но оно не может работать, когда порт 8291 заблокирован поставщиком. И это именно моя проблема ..."
Интересное видео снял один из столкнувшихся с проблемой The DUDE и нестандартного порта WinBox: https://www.youtube.com/watch?v=J7FKTzks3uA (красивое видео построенной карты The DUDE от октября 2019 года)

Я попробовал повторить советы автора, но у меня не получается, не срабатывают правила почему то - либо ошибаюсь при адаптации, либо новые прошивки по другому реагируют.

Посоветуйте, как подружить The DUDE и нестандартный порт WinBox.
Последний раз редактировалось Alex_2019 27 июн 2020, 14:03, всего редактировалось 7 раз.


RB1100AHx4 Dude Edition (RB1100Dx4)
cAP ac (RBcAPGi-5acD2nD)
hAP ac lite (952Ui-5ac2nD)
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Все правильно там пишут, единственный вариант NATить 8291 в свой нестандартный номер.
Причем только dst-nat на самих клиентах (ну или на пути к клиентам).
На сервере ничего сделать, увы, не получится.


Telegram: @thexvo
Alex_2019
Сообщения: 76
Зарегистрирован: 05 окт 2019, 16:08

xvo писал(а): 27 июн 2020, 13:08 Все правильно там пишут, единственный вариант NATить 8291 в свой нестандартный номер.
Причем только dst-nat на самих клиентах (ну или на пути к клиентам).
На сервере ничего сделать, увы, не получится.
Благодарю за ответ. Я только не совсем понял как это сделать.

Основная железка и на ней Dude-сервер. Порт WinBox нестандартный.
На ней я так понимаю ничего поменять не можем.

Далее у меня PPTP туннель. На той стороне от основной железки - удаленный Микротик, и тоже нестандатный порт WinBox.

Где мне нужно NATить 8291 в свой нестандартный номер? На удаленном Микротике? Отлавливать запрос к порту 8291 из pptp-туннеля и перекидывать на нестандартный порт?


RB1100AHx4 Dude Edition (RB1100Dx4)
cAP ac (RBcAPGi-5acD2nD)
hAP ac lite (952Ui-5ac2nD)
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Alex_2019 писал(а): 27 июн 2020, 14:51 Где мне нужно NATить 8291 в свой нестандартный номер? На удаленном Микротике? Отлавливать запрос к порту 8291 из pptp-туннеля и перекидывать на нестандартный порт?
Да, именно так.

А вот заставить сервер мониторить самого себя по нестандартному порту у меня так и не получилось.


Telegram: @thexvo
Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

Я когда-то для мониторинга сервера (когда он отказывался мониторить сам себя) использовал dude агента на другой железке.
Но давно это было сейчас нужно пробовать


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Ca6ko писал(а): 27 июн 2020, 16:11 Я когда-то для мониторинга сервера (когда он отказывался мониторить сам себя) использовал dude агента на другой железке.
Но давно это было сейчас нужно пробовать
Отличная идея.

Сейчас хотел попробовать.
Но вылезли некоторые подводные камни: версии ROS на сервере и агенте должны совпадать, для того, чтобы агент мог собирать инфу именно через ROS.
Для SNMP, или если использовать агента для отдельно какого-то сервиса, такого ограничения нет.

Но получается даже пакет dude на агенте ставить не обязательно?

В общем как в притче про маркер: одним маркером можно закрасить весь мир, кроме самого маркера, двумя маркерами можно закрасить весь мир :)


Telegram: @thexvo
Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

Слазил посмотрел, да использовал SNMP не устанавливая дудку. По памяти по моему при каких-то апгрейдах дудка слетела, и я решил не заморачиваться и настроил по SNMP.
зы Нужно попробовать, получается что агентом по SNMP можно использовать даже железку на которую дудки нету.


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Ca6ko писал(а): 28 июн 2020, 12:54 Слазил посмотрел, да использовал SNMP не устанавливая дудку. По памяти по моему при каких-то апгрейдах дудка слетела, и я решил не заморачиваться и настроил по SNMP.
зы Нужно попробовать, получается что агентом по SNMP можно использовать даже железку на которую дудки нету.
Это 100% можно, проверил уже.
Так же как и просто пинговать, проверять dns, ходить по http и т.д. - этим давно пользуюсь.
Так вот оказывается, что начиная с какой-то версии и для того, чтобы быть ROS агентом, тоже не надо дудку на агента ставить, и единственное условие, чтобы версии ROS на сервере и агенте совпадали.


Telegram: @thexvo
Alex_2019
Сообщения: 76
Зарегистрирован: 05 окт 2019, 16:08

Может кто знает ответ, почему DUDE-сервер не может залогиниться с микротиками, на которых настроено в файрволе forward -invalid drop ?
Моему DUDE-серверу (стоит в Питере) не удавалось соединиться с крымским микротиком по sstp туннелю, т.к. мешало включенное правило Дропать Инвалидный Форвард! Не понимаю причину, но на остальных микротиках столкнулся ранее с той же сложностью, описаний данной проблемы не увидел, вычислил путём отключения всех запрещающих правил и постепенным их включением. Пришлось на всех микротиках отключить эти строчки в файрволе.


RB1100AHx4 Dude Edition (RB1100Dx4)
cAP ac (RBcAPGi-5acD2nD)
hAP ac lite (952Ui-5ac2nD)
xvo
Сообщения: 4204
Зарегистрирован: 25 фев 2018, 22:41
Откуда: Москва

Не сталкивался с таким.
Тем более странно, что речь про forward.


Telegram: @thexvo
Ответить