Бесконечные login failure for user admin на mikrotik'ах, которые мониторит The Dude сервер

Обсуждение ПО, его настройка и функционал
mmmenko
Сообщения: 7
Зарегистрирован: 17 дек 2021, 10:04

Доброго времени суток! Ситуация следующая.

Имеется сеть микротиков на несколько десятков устройств, объединённых меж собой VPN l2tp+IPsec (диапазон пусть будет 192.168.0.1 - 192.168.60.1, где 192.168.70.1 - сервер VPN, развёрнутый на 0.1).
В первой подсети, помимо основного микротика 192.168.1.1 имеется hAP ac2, переведённый в режим CAP моста и получающий ip 192.168.1.2. На последнем установлен и настроен The Dude сервер версии 6.49.1, который замечательно справляется со своими задачами.
И все были бы счастливы, НО(!) во всех остальных подсетях в логах роутеров бесконечные записи "login failure for user admin from 192.168.70.1 via winbox", хотя состояние роутеров успешно снимается по SNMP, а в колонке устройств Status: up, RouterOS Status: ok. Если отключить TheDude, новые записи не появляются.
Если нажать Reconnect, в логах будет успешная авторизация, а через время - опять логи с той же ошибкой.
Можно было б обвинить фаервол и закрытые порты winbox, да вот подключение разрешено из всей локальной сети, что легко проверяется, подключаясь к устройствам отдельно, по winbox.
В нашей сети мониторинг по TheDude - решение новое. Названная проблема существует с момента первого запуска, а пути её решения находятся за пределами границ моей смекалки. Да поможет мне коллективный опыт и компетенция сообщества :s_o_s:


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Если мониторинга по snmp достаточно, то отключите в Dude на проблемных устройствах галочку router os.


mmmenko
Сообщения: 7
Зарегистрирован: 17 дек 2021, 10:04

Галочка с RouterOS не снимается. Во всяком случае, после применения, выхода и возвращения в настройки устройства, она снова присутствует, а проблемные устройства продолжают получать ошибки авторизации. К тому же, если отключить функционал RouterOS, не получится следить на карте за состоянием канала pppoe.

Обновлено: галочка RouterOS всё-таки снимается, но не с первого раза, пришлось проявить настойчивость. Мониторинг состояния канала pppoe получилось снять с помощью snmp. Но проблему это не решило, ошибки авторизации продолжают сыпаться на устройства.

Смущает тот факт, что такие ошибки лишь за пределами подсети, где стоит Dude, микротик "рядом" с ним прекрасно себя чувствует и с галочкой RouterOS и без каких-либо доп костылей. В других же подсетях ошибки авторизации, хотя подключение по дефолтному порту winbox разрешено


mmmenko
Сообщения: 7
Зарегистрирован: 17 дек 2021, 10:04

Решение оказалось из разряда "а ларчик просто открывался"

Методом научного тыка обнаружил следующую настройку. Заходим в клиент TheDude, над левой колонкой главного окна "Settings" > "Syslog", в которой мы снимаем галочку с "Enable". После этого ошибки сыпаться перестали.

По умолчанию функция включена и стучится в 514 порт, который, если верить wiki, отвечает за доставку в систему сообщений о происходящих в системе событиях. Отключил функцию за ненадобностью. Альтернативным вариантом можно разрешить в фаерволе идти трафику через этот порт.

Спасибо gmx за участие. Всех с наступающим 2022-м годом!


mmmenko
Сообщения: 7
Зарегистрирован: 17 дек 2021, 10:04

Но и счастье было недолгим. На микротике, где стоит TheDude ночью отработал скрипт по бекапированию на ftp сервер. С этого момента все логи в тех же красных записях: login failure for user admin from 192.168.70.1 via winbox. И указанным выше решением это не исправляется. Пока что, увеличил интервалы подключения к RouterOS в TheDude до одного раза в день (ранее стояла раз в минуту): заходим в клиент TheDude, над левой колонкой главного окна "Settings" > "RouterOS" > Connection Interval увеличиваем до 24:00:00 (но можно и произвольно до одного раза в 10 лет!)


mafijs
Сообщения: 533
Зарегистрирован: 03 сен 2017, 03:08
Откуда: Marienburga

Вписать правильный <user name> и <password> в устройстве на карте DUDE


mmmenko
Сообщения: 7
Зарегистрирован: 17 дек 2021, 10:04

mafijs писал(а): 30 дек 2021, 10:23 Вписать правильный <user name> и <password> в устройстве на карте DUDE
Вписанные логины и пароли несомненно правильные, что неоднократно проверено и перепроверено. Были попытки авторизации как с дополнительных пользователей специально для Dude, так и дефолтной админской учётки. Результату был один - ошибки. Сейчас во вкладке Server Configuration/RouterOS параметр Connection Interval стоит в значении 24:00:00, что избавляет от бесконечного ежеминутного флуда.


gmx
Модератор
Сообщения: 3290
Зарегистрирован: 01 окт 2012, 14:48

Попробуйте написать в mikrotik. Может чего и подскажут.


Ca6ko
Сообщения: 1484
Зарегистрирован: 23 ноя 2018, 11:08
Откуда: Харкiв

mmmenko писал(а): 11 янв 2022, 08:28 Вписанные логины и пароли несомненно правильные,
Сверьте версии ROS, там в какой то версии происходили изменения и ниже её пароли не проходят.


1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!

Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
mmmenko
Сообщения: 7
Зарегистрирован: 17 дек 2021, 10:04

Ca6ko писал(а): 16 янв 2022, 14:40 Сверьте версии ROS, там в какой то версии происходили изменения и ниже её пароли не проходят.
Версия на всех наблюдаемых роутерах: 6.49.2 (stable)
Версия роутера, где поселил TheDude: 6.49.1 (stable) . Ставил её т.к. на момент написания статьи не было клиента совместимого с сервером


Ответить