ミクロティクのTR-069。 RouterOS の自動構成サーバーとして Freeacs を試す

この記事では、素晴らしいプロジェクトのテスト サーバーをインストールするプロセスを段階的に説明していきます。 フリーアックス 完全に動作可能な状態まで移行し、パラメーターによる構成、スクリプトの実行、更新、追加モジュールのインストールなど、mikrotik を使用するための実践的なテクニックを示します。

この記事の目的は、同僚に、自分で書いたスクリプト、Dude、Ansible などの形で、ひどい熊手や松葉杖を使ってネットワーク デバイスを管理することをやめるよう奨励することです。そして、この機会に、花火を打ち上げて大衆が喜ぶことです。正方形。

0. 選択肢

なぜ genie-acs ではなく freeacs が言及されているのか マイクロティックウィキ、どのくらい生きていますか？
mikrotikのgenie-acsによると、スペイン人による出版物があるためです。 どうぞ PDFファイル и ビデオ 去年のMUMから。 スライド上のオートカリカチュアはクールですが、スクリプトを書く、スクリプトを実行する、スクリプトを実行するという概念から離れたいと思っています...

1.freeacsをインストールする

これを Centos7 にインストールします。デバイスはかなりの量のデータを送信し、ACS はデータベースと積極的に連携するため、リソースを貪欲に使用することはありません。 快適な作業のために、2 つの CPU コア、4GB RAM、および 16GB の高速 ssd RAID10 ストレージを割り当てます。 Freeacs を Proxmox VE lxc コンテナーにインストールします。使いやすいツールで作業できます。
ACS マシンに正しい時刻を設定してください。

このシステムはテスト用ですので、特に問題はなく、親切に提供されたインストール スクリプトをそのまま使用します。

wget https://raw.githubusercontent.com/freeacs/freeacs/master/scripts/install_centos.sh
chmod +x install_centos.sh
./ install_centos.sh

スクリプトが完了すると、admin/freeacs 資格情報を使用して、マシンの IP 経由で Web インターフェイスにすぐにアクセスできるようになります。

これはとても素敵なミニマルなインターフェイスで、すべてがとてもクールで高速に仕上がりました。

2.freeacsの初期設定

ACS の基本的な管理単位は、ユニットまたは CPE (Customer Premises Equipment) です。 そして、ユニットを管理するために必要な最も重要なことは、ユニットのタイプです。 ユニットとそのソフトウェアの設定可能なパラメータのセットを定義する機器モデル。 ただし、新しいユニット タイプを適切に作成する方法はわかりませんが、ディスカバリー モードをオンにしてユニット自体にそれについて問い合わせるのが最善です。

このモードは運用環境では絶対に使用できませんが、できるだけ早くエンジンを起動してシステムの機能を確認する必要があります。 すべての基本設定は /opt/freeacs-* に保存されます。 したがって、オープンします

 vi /opt/freeacs-tr069/config/application-config.conf 

、 我々は気づく

discovery.mode = false

そしてに変更します

discovery.mode = true

さらに、nginx と mysql が動作する最大ファイル サイズを増やしたいと考えています。 mysql の場合は、/etc/my.cnf に行を追加します。

max_allowed_packet=32M

nginx の場合は、/etc/nginx/nginx.conf に追加します。

client_max_body_size 32m;

httpセクションへ。 それ以外の場合は、1M を超えないファームウェアで動作できます。

再起動すると、デバイスを操作する準備が整います。

そして、デバイス（CPE）の役割で、私たちは勤勉な赤ちゃんを産みます hAP ACライト.

テスト接続を行う前に、今後設定するパラメータが空にならないように、CPE を最小限の動作設定に手動で設定することをお勧めします。 ルーターの場合、最低限できることは、ether1 で dhcp クライアントを有効にし、tr-069client パッケージをインストールし、パスワードを設定することです。

3. Mikrotikを接続する

有効なシリアル番号をログインとして使用してすべてのユニットを接続することをお勧めします。 そうすれば、ログですべてが明らかになります。 誰かが WAN MAC の使用をアドバイスしていますが、信じないでください。 誰かが全員に共通のログイン/パスのペアを使用している場合は、その使用を避けてください。

ログ tr-069 を開いて「交渉」を監視する

tail -f /var/log/freeacs-tr069/tr069-conversation.log

winbox を開き、メニュー項目 TR-069 を開きます。
ACS URL: http://10.110.0.109/tr069/prov (あなたのIPに置き換えてください)
ユーザー名: 9249094C26CB (システム > ルーターボードからシリアル番号をコピーします)
パスワード: 123456 (検出には必要ありませんが、必要です)
定期通知間隔は変更しません。 この設定は ACS を通じて発行されます

以下は接続のリモート初期化の設定ですが、これでは mikrotik を動作させることができませんでした。 ただし、リモート リクエストは電話ではそのまま使用できます。 それを理解する必要があります。

[適用] ボタンをクリックすると、端末内でデータが交換され、Freeacs Web インターフェイスに、自動的に作成されたユニット タイプ「hAPaclite」を持つルーターが表示されるようになります。

ルーターは接続されています。 自動作成されたユニットタイプを確認できます。 オープニング Easy Provisioning > Unit Type > Unit Type Overview > hAPaclite。 そこにないものは何ですか！ パラメータは 928 個あります (シェルで調べました)。 それが多いか少ないかは後でわかりますが、今はざっと見てみましょう。 これがユニットタイプの意味です。 これは、キーはあるが値は含まれていない、サポートされているパラメーターのリストです。 値は、プロファイルとユニットの下のレベルで設定されます。

4. Mikrotikの構成

ダウンロードの時間です ウェブインターフェースガイド この 2011 年のマニュアルは、熟成した良質のワインのボトルのようなものです。 開けて呼吸させてみましょう。

そして私たち自身も、Web インターフェイスでユニットの横にある鉛筆をクリックし、ユニット設定モードに移動します。 次のようになります。

このページの興味深い点を簡単に見てみましょう。

ユニット構成ブロック

• プロファイル: これはユニット タイプ内のプロファイルです。 階層は次のようになります。 UnitType > Profile > Unit。 つまり、たとえばプロファイルを作成できます。 hAPaclite > hotspot и hAPaclite > branch、ただしデバイスモデル内で

プロビジョニングブロック ボタン付き
ツールチップは、プロビジョニング ブロック内のすべてのボタンが ConnectionRequestURL 経由で構成を即座に適用できることを示しています。 ただし、上で述べたように、これは機能しないため、ボタンを押した後、手動でプロビジョニングを開始するには、mikrotik 上の tr-069 クライアントを再起動する必要があります。

• Freq/Spread: サーバーと通信チャネルの負荷を軽減するために、構成を週に何回配信するか ±%。 デフォルトでは 7/20 です。 毎日 ± 20% とそれが何秒であるかを示すヒント。 まだ配信頻度を変更する意味はありません。 ログに余分なノイズが含まれ、設定が期待どおりに適用されない場合があります。

プロビジョニング履歴ブロック (過去 48 時間)

• 見た目はまるで物語のようですが、タイトルをクリックすると、正規表現や便利な機能を備えた便利なデータベース検索ツールが表示されます。

パラメータブロック

最大かつ最も重要なブロック。実際に、特定のユニットのパラメータが設定および読み取られます。 ここでは、最も重要なシステム パラメータのみが表示されます。これがなければ、ACS はユニットで動作できません。 しかし、ユニット タイプにそれらが含まれていることを覚えています - 928。 すべての意味を見て、Mikrotikと一緒にみんなで何を食べるかを決めましょう。

4.1 パラメータの読み取り

「プロビジョニング」ブロックで、「すべて読み取り」ボタンをクリックします。 ブロックに赤い文字が刻まれています。 右側に列が表示されます CPE (現在) 値。 システムパラメータで、ProvisioningMode が READALL に変更されました。

そして... System.X_FREEACS-COM.IM.Message のメッセージ以外は何も起こりません。 Kick failed at....

TR-069 クライアントを再起動するかルーターを再起動し、右側の明るい灰色の四角形でパラメータが表示されるまでブラウザ ページの更新を続けます。
熟成したワインを一口飲みたい人は、このモードをマニュアルでは 10.2 検査モードとして説明しています。 電源を入れて動作が少し異なりますが、本質は非常によく説明されています

READALL モードは 15 分後に自動的にオフになります。ここで何が役立つのか、そしてこのモード中に何が「オンザフライ」で修正できるのかを理解しようとします。

IP アドレス、インターフェイスの有効化/無効化、コメント付きのファイアウォール ルール (そうしないと完全に混乱します)、Wi-Fi などを変更できます。

つまり、TR-069 のみを使用して mikrotik を適切に構成することはまだ不可能です。 しかし、それを非常によく監視することができます。 インターフェイスとそのステータス、空きメモリなどの統計が利用可能です。

4.2 パラメータの提供

次に、tr-069 を介して「自然な」方法でパラメータをルーターに配信してみましょう。 最初の被害者は Device.DeviceInfo.X_MIKROTIK_SystemIdentity です。 これは、All ユニットのパラメータにあります。 ご覧のとおり、指定されていません。 これは、任意のユニット自体が任意の ID を持つことができることを意味します。 これくらい我慢すれば十分だよ！
作成列のチェックボックスをクリックし、名前を Mr.White に設定し、パラメータの更新ボタンをクリックします。 次に何が起こるかはすでに予想できています。 本社との次の通信セッション中に、ルーターはその ID を変更する必要があります。

しかし、これだけでは十分ではありません。 ID などのパラメータは、目的のユニットを検索するときに常に手元に置いておくとよいでしょう。 パラメータ名をクリックし、表示(D)および検索可能(S)のチェックボックスをオンにします。 パラメータ キーが RWSD に変わります (名前とキーは最も高いユニット タイプ レベルで設定されることに注意してください)

値は一般的な検索リストに表示されるだけでなく、次の検索でも使用できるようになりました。 Support > Search > Advanced form

プロビジョニングを開始し、アイデンティティを確認します。 こんにちは、ホワイトさん！ tr-069client の実行中は ID を変更できなくなります

4.3 スクリプトの実行

それらなしでは生きていけないことがわかったので、実装しましょう。

ただし、ファイルの操作を開始する前に、ディレクティブを修正する必要があります。 public.url ファイル内 /opt/freeacs-tr069/config/application-config.conf
XNUMX つのスクリプトを使用してインストールされたテスト構成がまだ残っています。 忘れたんですか？

# --- Public url (used for download f. ex.) ---
public.url = "http://10.110.0.109"
public.url: ${?PUBLIC_URL}

ACS を再起動して、すぐに進みます。 Files & Scripts.

しかし、今私たちに開かれているものはユニットタイプに属します。 ブランチ ルータ、ホットスポット、Capsman のいずれであっても、すべての hAP AC ライト ルータにグローバルに送信されます。 まだそれほど高度なレベルは必要ないため、スクリプトやファイルを操作する前にプロファイルを作成する必要があります。 これはデバイスの「義務」と言えます。

赤ちゃんをタイムサーバーにしてみましょう。 個別のソフトウェアパッケージと少数のパラメータを備えた適切な位置。 に行きましょう Easy Provisioning > Profile > Create Profile ユニットタイプ: hAPaclite でプロファイルを作成します。 タイムサーバー。 デフォルトのプロファイルにはパラメータがなかったので、コピーするものはありませんでした パラメータのコピー元: 「コピーしないでください...」

ここにはまだパラメータがありませんが、hAPaclite から組み合わされて、後でタイム サーバー上で確認する必要があるパラメータを設定できるようになります。 たとえば、NTP サーバーの一般的なアドレスなどです。
ユニット構成に移動して、タイムサーバープロファイルに移動しましょう

ついに行きます Files & Scripts、スクリプトを作成すると、ここで驚くほど便利なパンが私たちを待っています。

ユニット上でスクリプトを実行するには、以下を選択する必要があります。 タイプ:TR069_SCRIPT а 名前 и ターゲット名 拡張子 .alter が必要です
同時に、スクリプトの場合、ソフトウェアとは異なり、既製のファイルをダウンロードするか、フィールドで単純に作成/編集することができます。 コンテンツ。 さっそくそこに書いてみましょう。

結果をすぐに確認できるように、ether1 上のルーターに VLAN を追加しましょう。

/interface vlan
add interface=ether1 name=vlan1 vlan-id=1

ドライブイン、プレス アップロード これで完了です。 私たちのスクリプト vlan1.alter 翼のところで待っています。

さて、行きましょうか？ いいえ。 プロファイル用のグループを追加する必要もあります。 グループは機器階層には含まれませんが、UnitType または Profile でユニットを検索するために必要であり、Advanced Provisioning を通じてスクリプトを実行するために必要です。 通常、グループは場所に関連付けられており、入れ子構造になっています。 ロシアというグループを作りましょう。

「hAPaclite 上の世界中のすべてのタイム サーバー」から「hAPaclite 上のロシアのすべてのタイム サーバー」まで検索を絞り込むことができたことを想像できますか。 グループには興味深いものがまだたくさんありますが、時間がありません。 スクリプトに行きましょう。

Advanced Provisioning > Job > Create Job

結局のところ、ここでは詳細モードなので、タスクの開始、エラー、繰り返し、タイムアウトの場合の動作に関するさまざまな条件をここで指定できます。 これらすべてをマニュアルで読むか、後で本番環境に実装するときに議論することをお勧めします。 ここでは、最初のユニットでタスクが完了するとすぐにタスクが停止するように、停止ルールに n1 を設定します。

必要な情報を入力したら、あとは起動するだけです。

スタートを押して待ちます。 デバッグが不十分なスクリプトによって強制終了されたデバイスのカウンターが活発に実行されるようになりました。 もちろん違います。 このようなタスクには時間がかかりますが、これがスクリプトや Ansible などとの違いです。 ユニット自体は、スケジュールに基づいて、またはネットワーク上に表示されたときにタスクを申請します。ACS は、どのユニットがすでにタスクを受信したか、およびタスクがどのように完了したかを追跡し、これをユニット パラメータに記録します。 私たちのグループには 1 つのユニットがあり、1001 個あった場合、管理者はこのタスクを起動して釣りに行くことになります。

来て。 ルーターを再起動するか、TR-069 クライアントを再起動します。 すべてがスムーズに進み、ホワイト氏は新しい VLAN を受け取ります。 そして、停止ルールタスクは一時停止ステータスに切り替わります。 つまり、引き続き再起動または変更できます。 「完了」をクリックすると、タスクがアーカイブされます。

4.4 ソフトウェアのアップデート

Mikrotik ファームウェアはモジュール式ですが、モジュールを追加してもデバイスの全体的なファームウェア バージョンは変更されないため、これは非常に重要な点です。 私たちのACSは正常であり、これには慣れていません。
ここでは、quick&dirty スタイルでこれを実行し、すぐに NTP モジュールを一般ファームウェアにプッシュしますが、デバイスのバージョンが更新されるとすぐに、同じ方法で別のモジュールを追加できなくなります。
運用環境では、そのようなトリックは使用せず、ユニット タイプにオプションのモジュールのみをスクリプトを使用してインストールすることをお勧めします。

したがって、最初に行う必要があるのは、必要なバージョンとアーキテクチャのソフトウェア パッケージを準備し、それらをアクセス可能な Web サーバーに配置することです。 テストの場合は、Mr.White が連絡できる人なら誰でもテストを行うことができますが、実稼働環境では、必要なソフトウェアの自動更新ミラーを組み立てる方が良いでしょう。これを Web に公開するのは怖くないでしょう。
重要！ 常に tr-069client パッケージをアップデートに含めることを忘れないでください。

結局のところ、パケットへのパスの長さは非常に重要です。 次のようなものを使用しようとすると http://192.168.0.237/routeros/stable/mipsbe/routeros-mipsbe-6.45.6.npk、mikrotik はリソースとの周期的な接続に陥り、TRANSFERCOMPLETE を tr-069 ログに繰り返し送信しました。 そして、何が問題なのかを解明するために神経細胞を費やしました。 だから、とりあえずは根元に置いておこう、分かるまで

したがって、http 経由で利用できる XNUMX つの npk ファイルが必要になります。 私の場合はこうなりました

http://192.168.0.241/routeros-mipsbe-6.45.6.npk
http://192.168.0.241/routeros/stable/mipsbe/ntp-6.45.6-mipsbe.npk
http://192.168.0.241/routeros/stable/mipsbe/tr069-client-6.45.6-mipsbe.npk

ここで、これを FileType = “1 Firmware Upgrade Image” の xml ファイルにフォーマットする必要があります。これを Mikrotik にフィードします。 名前をros.xmlとします。

からの指示に従ってやっていきます マイクロティックウィキ:

<upgrade version="1" type="links">
    <config />
    <links>
        <link>
            <url>http://192.168.0.241/routeros-mipsbe-6.45.6.npk</url>
        </link>
        <link>
            <url>http://192.168.0.241/ntp-6.45.6-mipsbe.npk</url>
        </link>
        <link>
            <url>http://192.168.0.241/tr069-client-6.45.6-mipsbe.npk</url>
        </link>
    </links>
</upgrade>

欠品が目立つ Username/Password ダウンロードサーバーにアクセスします。 プロトコル tr-3.2.8 の段落 A.069 のようにこれを入力してみることもできます。

<link>
<url>http://192.168.0.237/routeros/stable/mipsbe/ntp-6.45.6-mipsbe.npk</url>
<Username>user</Username>
<Password>pass</Password>
</link>

または、*.npk への最大パス長について Mikrotik 担当者に直接問い合わせてください。

知っている場所へ行きましょう Files & Scripts、そこに SOFTWARE ファイルを作成します お名前：ros.xml、 ターゲット名:ros.xml と バージョン：6.45.6
注意！ ここでのバージョンは、デバイスに表示されパラメータで渡される形式と正確に一致するように指定する必要があります。 System.X_FREEACS-COM.Device.SoftwareVersion.

アップロードする xm ファイルを選択すれば完了です。

現在、デバイスを更新する方法はたくさんあります。 メイン メニューのウィザード、高度なプロビジョニングおよびソフトウェア タイプのタスクを使用するか、単にユニット構成に移動して [アップグレード] をクリックします。 最も単純なパスを選択しましょう。そうしないと、記事がすでに膨らんでしまいます。

ボタンを押してプロビジョニングを開始すると、作業は完了です。 テストプログラムが完成しました。 mikrotik を使ってさらに多くのことができるようになりました。

5。 結論

執筆を開始したとき、最初に IP 電話の接続について説明し、その例を使用して tr-069 が簡単かつ楽に動作することがどれほどすばらしいかを説明したいと思いました。 しかし、資料を読み進めていくうちに、Mikrotik に接続した人たちにとって、独立した学習には電話など怖くないのではないかと思いました。

原則として、私たちがテストした Freeacs はすでに運用環境で使用できますが、そのためにはセキュリティ、SSL を構成する必要があり、リセット後の自動構成用に Mikrotik を構成する必要があり、ユニット タイプの正しい追加をデバッグする必要があります。 Web サービスやフュージョン シェルなどの作業を分析します。 試して、発明して、続編を書いてください!

皆さん、ご清聴ありがとうございました！ 訂正やコメントいただけると嬉しいです！

使用した資料と便利なリンクのリスト:

トピックを検索し始めたときに見つけたフォーラムのスレッド
TR-069 CPE WAN 管理プロトコル修正-6
フリーアックス wiki
Mikrotik のパラメータ tr-069 とターミナル コマンドへの対応

出所： habr.com