🥇 ניטור ובקרה מרחוק של מכשירים מבוססי Lunix/OpenWrt/Lede דרך יציאה 80...

שלום לכולם, זו ההתנסות הראשונה שלי ב-Habré. אני רוצה לכתוב על איך לנהל ציוד רשת ברשת חיצונית בצורה לא סטנדרטית. מה המשמעות של לא סטנדרטי: ברוב המקרים, כדי לנהל ציוד ברשת חיצונית אתה צריך:

כתובת IP ציבורית. ובכן, או אם הציוד נמצא מאחורי ה-NAT של מישהו, אז IP ציבורי ויציאה "מועברת".
מנהרה (PPTP/OpenVPN/L2TP+IPSec וכו') לצומת המרכזי שדרכו יהיה נגיש.

לכן, תזדקק ל"אופניים שלי" כאשר השיטות הסטנדרטיות אינן מתאימות לך, למשל:

הציוד ממוקם מאחורי NAT וחוץ מה-http הרגיל (יציאה 80), הכל סגור. זהו מצב נורמלי לחלוטין עבור רשתות ארגוניות פדרליות גדולות. הם יכולים לרשום יציאות, אבל לא מיד, לא מהר, ולא בשבילך.
ערוץ תקשורת לא יציב ו/או "צר". מהירות נמוכה, הפסדים קבועים. כאב ותסכול כאשר מנסים לארגן מנהרה.
ערוץ תקשורת יקר, שבו ממש כל מגה בייט נחשב. למשל, תקשורת לוויינית. בנוסף עיכובים ארוכים ורצועה "צרה".
מצב שבו צריך "להטט" מספר רב של נתבים קטנים, עליהם מותקן מצד אחד OpenWrt/Lede להרחבת היכולות, ומצד שני, המשאבים (הזיכרון) של הנתב אינם מספיקים. לכל דבר.

שימו לב מספר פעמים מה מונע ממך להתקין כונן הבזק ליציאת ה-USB של הנתב ולהרחיב את זיכרון הנתב?

לרוב, הדרישות הן לעלות הפתרון בכללותו, אך לעיתים גם גורם הצורה משחק תפקיד מרכזי. לדוגמה, יש באתר TP-Link ML3020, יציאת ה-USB היחידה שלו משמשת למודם 2G/3G, כל זה עטוף באיזשהו מארז פלסטיק קטן וממוקם במקום גבוה, גבוה (על התורן), רחוק, רחוק (בשטח, 30 ק"מ מתחנת הבסיס של המפעיל הסלולרי הקרוב). כן, אתה יכול לחבר רכזת USB ולהרחיב את מספר היציאות, אבל הניסיון מלמד שזה מסורבל ולא אמין.

אז ניסיתי לתאר לכם את המצב הטיפוסי שלי: "איפשהו רחוק, רחוק, יש נתב חשוב מאוד, בודד וקטן שמריץ לינוקס. חשוב לדעת לפחות פעם ביום שהוא "חי" ובמידת הצורך נשלחות אליו פקודות, למשל "מותק, אתחול מחדש!"

נעבור ליישום:

1) בצד הנתב, דרך cron, כל 5/10/1440 דקות, או מתי שתרצו, צריך לשלוח בקשת http לשרת באמצעות wget, לשמור את תוצאת הבקשה לקובץ, להפוך את הקובץ לבר-הפעלה , ולבצע אותו.

קו הקרון שלי נראה בערך כך:

קובץ /etc/crontabs/root:

  */5 * * * * wget "http://xn--80abgfbdwanb2akugdrd3a2e5gsbj.xn--p1ai/a.php?u=user&p=password" -O /tmp/wa.sh && chmod 777 /tmp/wa.sh && /tmp/wa.sh

, שבו
xn--80abgfbdwanb2akugdrd3a2e5gsbj.xn--p1ai הוא הדומיין של השרת שלי. תן לי לציין מיד: כן, אתה יכול לציין כתובת IP ספציפית של השרת, נהגנו לעשות זאת עד שהמדינה שלנו, בדחף צדק של מאבק, אני אגיד, אני לא יודע, חסמה את הגישה לאריה של האריה. נתח ה"עננים" של DigitalOcean ואמזון. אם אתה משתמש בדומיין סמלי, אם מתרחש אירוע כזה, אתה יכול בקלות להעלות ענן גיבוי, להפנות את הדומיין אליו ולשחזר את ניטור המכשירים.

a.php הוא השם של הסקריפט בצד השרת. כן, אני יודע שזה לא נכון לתת שם למשתנים ושמות קבצים באותה אות... אני מציע שכך נחסוך כמה בתים בעת שליחת בקשה :)
u - שם משתמש, כניסה לחומרה
p - סיסמה
"-O /tmp/wa.sh" הוא קובץ בנתב המרוחק שבו תישמר תגובת השרת, למשל פקודת אתחול מחדש.

הערה מספר שתיים: אההה, למה אנחנו משתמשים ב-wget ולא ב-curl, כי דרך curl אפשר לשלוח בקשות https לא עם GET, אלא עם POST? אההה כי, כמו בבדיחה הישנה "NE מטפס לתוך הצנצנת!" curl כולל ספריות הצפנה בגודל של כ-2MB, ובגלל זה לא סביר שתצליחו להרכיב תמונה עבור TP-LINK ML3020 קטן, למשל. ועם wget - בבקשה.

2) בצד השרת (יש לי אובונטו) נשתמש ב- Zabbix. למה: אני רוצה שזה יהיה יפה (עם גרפים) ונוח (שלח פקודות דרך תפריט ההקשר). ל-Zabix יש דבר נפלא כמו סוכן ה-zabbix. דרך הסוכן נתקשר לסקריפט PHP בשרת, שיחזיר מידע לגבי האם הנתב שלנו נרשם בפרק הזמן הנדרש. כדי לאחסן מידע על זמן רישום, פקודות למכשירים, אני משתמש ב-MySQL, טבלה נפרדת למשתמשים עם בערך השדות הבאים:

		CREATE TABLE `users` (
		  `id` varchar(25) NOT NULL,
		  `passwd` varchar(25) NOT NULL,
		  `description` varchar(150) NOT NULL,
		  `category` varchar(30) NOT NULL,
		  `status` varchar(10) NOT NULL,
		  `last_time` varchar(20) NOT NULL, // время последнего соединения
		  `last_ip` varchar(20) NOT NULL, // IP последнего соединения 
		  `last_port` int(11) NOT NULL, // порт последнего соединения
		  `task` text NOT NULL, // задача которую получает роутер
		  `reg_task` varchar(150) NOT NULL, // "регулярная" задача, если мы захотим чтобы задача выполнялась всегда при регистрации
		  `last_task` text NOT NULL, // лог задач
		  `response` text NOT NULL, // сюда пишется ответ устройства
		  `seq` int(11) NOT NULL
		) ENGINE=InnoDB DEFAULT CHARSET=utf8;

ניתן להוריד את כל המקורות ממאגר Git בכתובת: https://github.com/BazDen/iotnet.online.git
כעת ממוקמים סקריפטים של PHP בצד השרת (לנוחות, ניתן למקם אותם בתיקייה /usr/share/zabbix/):

קובץ a.php:

<?php
// Получаем входные параметры: имя пользователя, пароль и сообщение от удаленного роутера
// Зачем нужен message ? Это способ ответа роутера, например если вы захотите посмотреть содержимое файла роутера
	$user=$_REQUEST['u'];
	$password=$_REQUEST['p'];
	$message=$_REQUEST['m'];
	
	// Подключаемся к нашей базе данных (MySQL)
	$conn=new mysqli("localhost","db_login","db_password","DB_name");
	if (mysqli_connect_errno()) {
		exit();
	}
	$conn->set_charset("utf8");
	// здесь ищем наш роутер в таблице базы данных
	$sql_users=$conn->prepare("SELECT task, reg_task, response, last_time FROM users WHERE id=? AND passwd=? AND status='active';");
	$sql_users->bind_param('ss', $user, $password);
	$sql_users->bind_result($task, $reg_task, $response, $last_time);
	$sql_users->execute();
	$sql_users->store_result();
	if (($sql_users->num_rows)==1){
		$sql_users->fetch();
		// здесь мы роутеру отправляем его задачи
		echo $task;
		echo "n";
		echo $reg_task;
		// вот здесь мы пишем время ответа и сам ответ роутера
		$response_history="[".date("Y-m-d H:i")."] ".$message;
		// задачу отправили, теперь надо ее удалить,а после удаления отметить в логах, что такая-то задача выполнена
		$last_ip=$_SERVER["REMOTE_ADDR"];
		$last_port=$_SERVER["REMOTE_PORT"];
		$ts_last_conn_time=$last_time;
		$sql_users=$conn->prepare("UPDATE users SET task='', seq=1 WHERE (id=?);");
		$sql_users->bind_param('s', $user);
		$sql_users->execute();
		if (strlen($message)>1){
			$sql_users=$conn->prepare("UPDATE users SET response=?, seq=1 WHERE (id=?);");
			$sql_users->bind_param('ss', $response_history, $user);
			$sql_users->execute();
		}
		// теперь надо сохранить время регистрации пользователя, его айпи и сообщение от него. Пока только сообщение
		$ts_now=time();
		$sql_users=$conn->prepare("UPDATE users SET last_time=?, last_ip=?, last_port=? WHERE (id=?);");
		$sql_users->bind_param('ssss', $ts_now, $last_ip, $last_port, $user);
		$sql_users->execute();
	}
	// если мы не нашли роутер в нашей базе данных, или его статус "неактивный", то ему ... будет отправлена команда reboot....
	// Почему так жестоко ? Потому что роутеры иногда пропадают, а это маленький способ проучить "новых владельцев". 
	else
	{
	echo "reboot";
	}
	$sql_users->close();
	?>

קובץ Agent.php (זהו הסקריפט של הסוכן zabbix שנקרא):

<?php
	// файл агента Zabbix. Данный скрипт обращается к таблице users и получает "1" если устройство регистрировалось с момента последнего обращения
	// user и password - учетные данные оборудования
	$user = $argv[1];
	$password = $argv[2];
	
	// подключаемся к нашей базе данных
	$conn=new mysqli("localhost","db_user","db_password","db_name");
	if (mysqli_connect_errno()) {
		exit();
		}
	$conn->set_charset("utf8");
	$sql_users=$conn->prepare("SELECT seq FROM users WHERE id=? AND passwd=? AND status='active';");
	$sql_users->bind_param('ss', $user, $password);
	$sql_users->bind_result($seq);
	$sql_users->execute();
	$sql_users->store_result();
	// обмен данными происходит через поле seq. При регистрации железка ставит данное поле в "1"
	if (($sql_users->num_rows)==1){
		$sql_users->fetch();
		echo $seq;
	}
		
	// обнуляем $seq. 
	$sql_users=$conn->prepare("UPDATE users SET seq=0 WHERE id=? AND passwd=? AND status='active';");
	$sql_users->bind_param('ss', $user, $password);
	$sql_users->execute();
	$sql_users->close();
?>

ובכן, השלב האחרון: רישום סוכן והוספת לוחות זמנים.

אם עדיין לא התקנת את הסוכן zabbix, אז:

apt-get install zabbix-agent

ערוך את הקובץ /etc/zabbix/zabbix_agentd.conf.

הוסף את השורה:

UserParameter=test,php /usr/share/zabbix/agent.php user password

, שבו
מבחן הוא שמו של הסוכן שלנו
"php /usr/share/zabbix/agent.php user password" - סקריפט שנקרא המציין את נתוני הרישום של המכשיר.

הוספת תרשימים: פתח את ממשק האינטרנט של zabbix, בחר מהתפריט:
הגדרות -> צמתי רשת -> צור צומת רשת. כאן מספיק לציין את שם מארח הרשת, הקבוצה שלו וממשק הסוכן המוגדר כברירת מחדל:

כעת עלינו להוסיף אלמנט נתונים עבור צומת הרשת הזה. שימו לב לשני שדות: "מפתח" - זה בדיוק הפרמטר שכתבנו בקובץ /etc/zabbix/zabbix_agentd.conf (במקרה שלנו זה test), ו-"מרווח עדכון" - קבעתי אותו ל-5 דקות , כי וגם הציוד נרשם בשרת אחת לחמש דקות.

ובכן, בואו נוסיף גרף. אני ממליץ לבחור "מילוי" כסגנון העיבוד.

הפלט הוא משהו מאוד לקוני, למשל ככה:

לשאלה הסבירה: "האם זה היה שווה את זה?", אענה: ובכן, כמובן, ראה "סיבות ליצירת אופניים" בתחילת המאמר.

אם החוויה הגרפומנית הראשונה שלי מעוררת את עניין הקוראים, אז במאמרים הבאים אני רוצה לתאר כיצד לשלוח פקודות לציוד מרוחק. כמו כן, הצלחנו ליישם את כל הסכימה עבור מכשירים המבוססים על RouterOS (Mikrotik).

מקור: www.habr.com

ניטור ובקרה מרחוק של התקנים מבוססי Lunix/OpenWrt/Lede דרך יציאה 80...

הוספת תגובה ביטול תגובה