Утратил доступ к MikroTik из WAN и LAN через WinBox (Router OS 6.47.1) - взломали?

[Alex_2019]

PPP-пароли хранятся просто в конфиге.

С очень большой долей вероятности его все-таки ломанули.
Может быть пароль утянули ещё давно и только сейчас воспользовались.

Два раза созвонился с провайдером. Ночных логов у них нет, не ведут. Не могут оценить была ли атака.
Сейчас трафик из интернета к Микротику 200 байт/с, а от него 600 байт/с.
Предыдущий сотрудник техподдержки ограничился словами про "идет технический трафик".

Вообще на микротике поднят The DUDE сервер, который пингует порядка десятка IP через WAN интерфейс, поэтому цифры мне кажутся похожими на нормальные.
Важно, что на данный момент как минимум SYN-флуд не улетает с микротика. А вообще он составлял до настройки противофлуда обычно 1-3 и до 6 мбит/с !!! Запросы приходили по UDP от имени вероятно зараженных устройств или от имени IP жертв, против которых организуются DDOS атаки.

[Alex_2019]

Во всех этих длинных и емкий описания я так и не нашел информации поясняющей значение словосочетания - "не пускает". Он так и говорит, что пароль не верен? Или быть может просто не удается установить соединение и оно обрывается через какое-то время? Из описанного пока создается впечатление, что кто-то дудосит мирокт и поэтому к нему нельзя подключиться, отсюда и потери пакетов при пинге, что могло совпасть с добавление огромного пула адресов в "вайт лист", часть из которых была не очень-то и "вайт". Понять это легко и просто - дернуть его по питанию и на какое-тов непродолжительное время все заработает и доступ появится. Если все случится так, то нужно бежать как серверный олень и "закрываться" как можно скорее.

Поясняю, что я вкладываю в слово Микротик НЕ ПУСКАЕТ через WinBox.
Когда в винбоксе указываем IP микротика, который вообще недоступен (например, выключено питание), то винбокс задумывается перед тем как написать ERROR: could not connect to xxx.xxx.xxx.xxx.
Когда же указываем из локалки правильный адрес, то ERROR: could not connect to xxx.xxx.xxx.xxx пишется быстро.

Про питание я думал. У меня на него одна надежда. Но дернуть два провода (в микротике два блока питания, один напрямую 220, второй через UPS который держит более 2 часов) я смогу не раньше, чем очень нескоро, на самолетах лететь нужно до роутера...
К счастью, критично важный сервер за микротиком пока доступен. Это и радует, и удивляет одновременно. Но и с него микротик хотя и пингуется, но недоступен и Winbox`ом и Telnet`ом - телнет просто не выдает приглашение ввести login
(при этом другие микротики нормально отвечают приглашением ввести login а затем password, после чего дают отлуп за превышение времени ввода.

[xvo]

Логи с него на внешний сервер никакой, я так понимаю, не пишутся?

[Alex_2019]

Логи с него на внешний сервер никакой, я так понимаю, не пишутся?

Верно, запись логов всех микротиков на внешний сервер у меня в планах. Пока что логи пишу на диск только на этом микротике, на нем два SSD диска стоят.
А вообще буду благодарен за совет на чём лучше логи хранить. У меня частенько бывает ситуация, когда удаленный адрес с микротиком остается без электричества на многие часы. UPS не выдерживает и тоже ложится. Плюс оператор мобильной связи постоянно режет исходящий трафик, а с ним и pptp и sstp каналы. Большая часть логов пропадает.
Хочется где-то собирать на недорогом ресурсе в облаке статистику, с возможностью удобного просмотра по событиям.

[xvo]

А вообще буду благодарен за совет на чём лучше логи хранить.

Ну так то syslog сервер на чем угодно поднять можно.
Хоть в облаке, хоть на NAS'е, хоть на малине (если нормальный диск подцепить).
Тот же dude вроде как должен уметь собирать чужие логи, но я не пробовал.

[Alex_2019]

А вообще буду благодарен за совет на чём лучше логи хранить.

Ну так то syslog сервер на чем угодно поднять можно.
Хоть в облаке, хоть на NAS'е, хоть на малине (если нормальный диск подцепить).
Тот же dude вроде как должен уметь собирать чужие логи, но я не пробовал.

По поводу The DUDE у меня сложилось стойкое убеждение, что это крайне слабый продукт, с большим числом багов. Один из багов: после падения sstp-соединения между микротиками, которое наблюдал TheDUDE, роутинг перенастраивается на резервный pptp канал через третий микротик. The DUDE с какого то "перепуга" начинает отслеживать то соединение. А когда прямое соединение по SSTP восстанавливается, то в статистику попадат только нули на резервном канале.
Много раз руками возвращал настройку, что следить нужно за трафиком в sstp-туннеле, но каждый раз после "художеств" мобильного оператора, который иногда зарезает sstp, но не трогает pptp, The DUDE самостоятельно изменяет настройки в контролируемых соединениях.
Плюс The DUDE не может корректно работать в случае, когда на Микротиках настроен нестандартный порт WinBox'а. С целью безобасности менял порт, а The Dude тогда отказывался подключаться. И этот "мелкий" баг уже год разработчики не устраняют.
Такое ощущение, что у них совсем туго с деньгами на оплату труда разработчиков, раз прекратили развивать The DUDE.
Я же выбрал железку в основном в связи с кажущимся мне тогда удобством использования The DUDE прямо на роутере. И еще The DUDE клиент плохо подключается к микротику с TheDude сервером в ситуации длинных пингов - тоже об этом нигде не пишут, или я не нашел.

[xvo]

Про DUDE все так и есть: в то время как другие производители массово бросились выпускать свои системы облачного управления и мониторинга, одна другой красивее и удобнее, Микротик наоборот на DUDE подзабил, хотя казалось бы - довести его до ума, сделать современный интерфейс, добавить возможность ходить на него через web.
Но видимо рук не хватает. Может быть позже, вместе с 7кой. В конце концов мобильное то приложение они сподобились сделать, на волне моды, так сказать.

[Erik_U]

Alex_2019,
с сервера за микротиком (который пока доступен) пинганите микротик
потом дайте команду arp -a, она покажет мак адреса устройств, с которыми в последнее время сервер контактировал, среди них будет микротик.
Скопируйте его мак-адрес, запустите винбокс на этом сервере и присоединитесь по маку.

[Alex_2019]

Alex_2019,
с сервера за микротиком (который пока доступен) пинганите микротик
потом дайте команду arp -a, она покажет мак адреса устройств, с которыми в последнее время сервер контактировал, среди них будет микротик.
Скопируйте его мак-адрес, запустите винбокс на этом сервере и присоединитесь по маку.

Благодарю за точную последовательность действий и написание команды arp -a
Она выдала мак-адрес который совпал с тем, что раньше видели винбоксы в закладке "соседи".
Ввел этот мак-адрес вместо IP адреса и секунды через 2 получил сообщение:
ERROR: could not connect to xx:xx:xx:xx:xx:xx

Вводил другие существующие MAC адреса на этом микротике, а также существующие IP адреса из разных подсетей. Ответ с ошибкой такой же быстрый.
Но как только меняем IP адрес на несуществующий (заведомо не прописанный на микротике), так время ожидания сообщения об ошибке сильно увеличивается (примерно до 25 секунд) !

Любопытно по какой причине винбокс (самый последний) перестал видеть находящийся в локальной сети мак-адрес микротика в закладку Neighbors (хотя при отправке команды arp -a из командной строки этот мак-адрес стразу же показывается?

[Alex_2019]

Просматриваю сохраненный незадолго до инцидента экспорт настроек.
Я то ставил вотчдог, то отменял т.к. при реальном падении интернета роутер часто начинал перезагружаться, чем мешал работе локальной сети.
В итоге у меня настройки такие

/system watchdog
set ping-start-after-boot=1d ping-timeout=10m watch-address=8.8.8.8 \
watchdog-timer=no

Только я теперь запутался: если я попрошу провайдера "погасить" порт минут на 15, чтобы микротик увидел пропадание интернета, он перезагрузится или нет? Вроде время выставлено, но смущает NO.