ProHoster > Blog > fitantanan-draharaha > Ny tetikasako tsy vita. Tambajotra misy router MikroTik 200

Ny tetikasako tsy vita. Tambajotra misy router MikroTik 200

Ny tetikasako tsy vita. Tambajotra misy router MikroTik 200

Salama daholo. Ity lahatsoratra ity dia natao ho an'ireo izay manana fitaovana Mikrotik be dia be ao amin'ny valan-javaboary, ary te-hanao fampiraisana ambony indrindra mba tsy hifandray amin'ny fitaovana tsirairay. Ato amin'ity lahatsoratra ity, dia mamaritra ny tetikasa izay, indrisy, tsy nahatratra ny ady noho ny anton-javatra olombelona. Raha fintinina: router mihoatra ny 200, fanamboarana haingana sy fanofanana mpiasa, fampiraisana isam-paritra, tambajotra sivana sy mpampiantrano manokana, ny fahafahana mampiditra fitsipika mora foana amin'ny fitaovana rehetra, ny fidirana sy ny fanaraha-maso ny fidirana.

Ny voalaza etsy ambany dia tsy miseho ho toy ny raharaha efa vita, fa manantena aho fa hahasoa anao izany rehefa manomana ny tambajotranao ary manamaivana ny fahadisoana. Angamba toa tsy mety aminao ny hevitra sy fanapahan-kevitra sasany - raha izany dia manorata ao amin'ny fanehoan-kevitra. Ny fanakianana amin'ity tranga ity dia ho traikefa amin'ny banky piggy mahazatra. Noho izany, mpamaky, jereo ao amin'ny fanehoan-kevitra, angamba ny mpanoratra nanao fahadisoana lehibe - ny fiaraha-monina dia hanampy.

Ny isan'ny router dia 200-300, miparitaka any amin'ny tanàna samihafa manana kalitao fifandraisana Internet. Ilaina ny manao ny zava-drehetra ho tsara tarehy ary manazava amin'ny mpitantana eo an-toerana amin'ny fomba azo idirana ny fomba fiasan'ny zava-drehetra.

Dia aiza no manomboka ny tetikasa tsirairay? Mazava ho azy, miaraka amin'ny TK.

  1. Fandaminana ny drafitry ny tambajotra ho an'ny sampana rehetra araka ny takian'ny mpanjifa, fizarana tambajotra (avy amin'ny tambajotra 3 ka hatramin'ny 20 amin'ny sampana, miankina amin'ny isan'ny fitaovana).
  2. Mametraha fitaovana isaky ny sampana. Fanamarinana ny tena bandwidth an'ny mpamatsy amin'ny toe-javatra samihafa miasa.
  3. Fandaminana ny fiarovana ny fitaovana, ny fanaraha-maso ny lisitra fotsy, ny fanaraha-maso mandeha ho azy ny fanafihana miaraka amin'ny lisitra mainty mandeha ho azy mandritra ny fe-potoana voafaritra, ny fanamaivanana ny fampiasana fitaovana ara-teknika isan-karazany ampiasaina hanakanana ny fidirana amin'ny fanaraha-maso sy ny fandavana ny serivisy.
  4. Fandaminana ny fifandraisana vpn azo antoka miaraka amin'ny sivana tambajotra araka ny takian'ny mpanjifa. Fifandraisana vpn farafahakeliny 3 avy amin'ny sampana tsirairay mankany afovoany.
  5. Miorina amin'ny teboka 1, 2. Fidio ny fomba tsara indrindra hananganana vpn mahazaka fahadisoana. Ny teknôlôjia dynamic routing, miaraka amin'ny fanamarinana marina, dia azo safidin'ny mpandraharaha.
  6. Fandaminana ny laharam-pahamehana amin'ny fifamoivoizana amin'ny alàlan'ny protocols, seranana, mpampiantrano ary serivisy manokana hafa ampiasain'ny mpanjifa. (VOIP, mpampiantrano manana tolotra lehibe)
  7. Fandaminana ny fanaraha-maso sy ny fandraketana ny hetsika ny router ho valin'ny mpiasa fanohanana ara-teknika.

Araka ny fantatsika, amin'ny tranga sasany, ny TOR dia natambatra avy amin'ny fepetra takiana. Namolavola samirery ireo fepetra ireo aho, rehefa avy nihaino ireo olana lehibe. Niaiky izy fa mety hisy olon-kafa handray ny fampiharana ireo teboka ireo.

Inona no fitaovana ampiasaina hanatanterahana ireto fepetra ireto:

  1. ELK stack (rehefa elaela dia fantatra fa fluentd no ampiasaina fa tsy logstash).
  2. Ansible. Ho fanamorana ny fitantanana sy ny fizarana fidirana dia hampiasa AWX izahay.
  3. GITLAB. Tsy ilaina ny manazava eto. Aiza no tsy misy fanaraha-maso dikan-ny configs.
  4. PowerShell. Hisy script tsotra ho an'ny taranaka voalohany amin'ny config.
  5. Doku wiki, ho an'ny fanoratana antontan-taratasy sy boky fampianarana. Amin'ity tranga ity, mampiasa habr.com izahay.
  6. Ny fanaraha-maso dia atao amin'ny alàlan'ny zabbix. Hisy ihany koa ny kisarisary mifandray amin'ny fahatakarana ankapobeny.

Ireo singa mifandraika amin'ny EFK

Eo amin'ny teboka voalohany dia ny foto-pisainana hanorenana ireo index ihany no holazaiko. Betsaka ireo
lahatsoratra tsara indrindra momba ny fametrahana sy ny fandraisana logs avy amin'ny fitaovana mandeha mikrotik.

Hiresaka hevitra sasantsasany aho:

1. Araka ny drafitra, dia ilaina ny mandinika ny fandraisana ny hazo avy amin'ny toerana samy hafa sy amin'ny seranana samihafa. Mba hanaovana izany, dia hampiasa log aggregator isika. Tianay koa ny hanao sary manerantany ho an'ny router rehetra manana fahafahana mizara fidirana. Avy eo dia manamboatra ny indexes toy izao manaraka izao isika:

Ity misy ampahany amin'ny config miaraka amin'ny fluentd elasticsearch
logstash_format marina
index_name mikrotiklogs.north
logstash_prefix mikrotiklogs.north
flush_interval 10s
Tompon'ny maro, electeur: 9200
seranan-tsambo 9200

Noho izany, afaka manambatra ny router sy ny fizarana araka ny drafitra - mikrotiklogs.west, mikrotiklogs.south, mikrotiklogs.east. Nahoana no sarotra be izany? Fantatray fa hanana fitaovana 200 na mihoatra izahay. Aza manaraka ny zava-drehetra. Hatramin'ny dikan-teny 6.8 an'ny elasticsearch, dia azonay atao ny mametraka ny fiarovana (tsy mividy fahazoan-dàlana), noho izany dia afaka mizara zo hijery eo amin'ireo mpiasa mpanohana ara-teknika na mpitantana ny rafitra eo an-toerana izahay.
Tabilao, tabilao - eto dia mila manaiky fotsiny ianao - na mampiasa ny iray ihany, na ny olon-drehetra dia manao izany satria mety ho azy.

2. Amin'ny fanoratana. Raha avelantsika hiditra ny fitsipiky ny firewall, dia ataontsika tsy misy toerana ny anarana. Hita fa amin'ny fampiasana config tsotra amin'ny fluentd dia afaka manivana ny angon-drakitra isika ary manamboatra tontonana mety. Ny sary eto ambany dia ny router an-tranoko.

Ny tetikasako tsy vita. Tambajotra misy router MikroTik 200

3. Araka ny toerana nipetrahana sy ny hazo. Amin'ny ankapobeny, miaraka amin'ny hafatra 1000 isan'ora, ny diary dia mandray 2-3 MB isan'andro, izay tsy dia be loatra. elasticsearch version 7.5.

ANSIBLE.AWX

Soa ihany ho antsika fa manana module efa vita ho an'ny routeros
Nasongadiko ny momba ny AWX, fa ny baiko etsy ambany dia momba ny ansible amin'ny endriny madio indrindra - Heveriko fa ho an'ireo izay niasa tamin'ny ansible dia tsy hisy olana amin'ny fampiasana awx amin'ny alàlan'ny gui.

Raha ny marina, talohan'izay dia nijery mpitari-dalana hafa aho izay nampiasan'izy ireo ssh, ary samy nanana olana ny tsirairay tamin'ny fotoana famaliana sy ny olana hafa. Averiko indray, tsy tonga amin'ny ady izany , raiso ho toy ny fanandramana tsy mihoatra ny fijoroan'ny router 20 ity fampahalalana ity.

Mila mampiasa taratasy fanamarinana na kaonty isika. Anjaranao ny manapa-kevitra, izaho no nahazo certificat. Soso-kevitra vitsivitsy momba ny zo. Omeko ny zo hanoratra - farafaharatsiny "reset config" dia tsy mandeha.

Tsy tokony hisy olana amin'ny famokarana, kopia ny taratasy fanamarinana ary fanafarana:

Lisitra fohy amin'ny baikoAmin'ny PC-nao
ssh-keygen -t RSA, valio fanontaniana, tehirizo ny fanalahidy.
Adikao amin'ny mikrotik:
mpampiasa ssh-keys manafatra public-key-file=id_mtx.pub user=ansible
Voalohany dia mila mamorona kaonty ianao ary mizara ny zo amin'izany.
Fanamarinana ny fifandraisana amin'ny taratasy fanamarinana
ssh -p 49475 -i /keys/mtx [email voaaro]

Soraty ny vi /etc/ansible/hosts
MT01 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= azo
MT02 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= azo
MT03 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= azo
MT04 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= azo

Ohatra iray amin'ny playbook: anarana: add_work_sites
mpampiantrano: testmt
série: 1
fifandraisana: network_cli
remote_user: mikrotik.west
gather_facts: eny
asa:
anarana: ampio Work_sites
routeros_command:
mandidy:
- /ip firewall adiresy-lisitra add address=gov.ru list=work_sites comment=Ticket665436_Ochen_nado
- / ip firewall adiresy-lisitra add address=habr.com list=work_sites comment=for_habr

Araka ny hitanao amin'ny fanamafisana etsy ambony, ny fanangonana ny bokinao manokana dia raharaha tsotra. Tena tsara ny mahafehy cli mikrotik. Alaivo sary an-tsaina ny toe-javatra iray izay ilanao hanesorana ny lisitry ny adiresy misy angon-drakitra sasany amin'ny router rehetra, avy eo:

Tadiavo ary esory/ip firewal adiresy-lisitra esory [hitadiavana hoe aiza ny lisitra = "gov.ru"]

Niniako tsy nampiditra ny lisitry ny firewall manontolo eto. ho an'ny tsirairay izany ho an'ny tetikasa tsirairay. Saingy azoko antoka fa ny lisitry ny adiresy ihany no ampiasaina.

Araka ny voalazan'ny GITLAB, mazava ny zava-drehetra. Tsy hieritreritra an'io fotoana io aho. Ny zava-drehetra dia tsara tarehy amin'ny resaka asa tsirairay, modely, mpitantana.

Powershell

Hisy rakitra 3. Nahoana no powershell? Ny fitaovana amin'ny famoronana configs dia azon'ny olona rehetra mahazo aina kokoa. Amin'ity tranga ity dia manana varavarankely amin'ny PC-ny daholo ny tsirairay, koa maninona no manao izany amin'ny bash rehefa mety kokoa ny powershell. Iza no mahazo aina kokoa.

Ny script mihitsy (tsotra sy azo takarina):[cmdletBinding()] Param(
[Parameter(Mandatory=$marina)] [string]$EXTERNALIPADDRESS,
[Parameter(Mandatory=$marina)] [string]$EXTERNALIPROUTE,
[Paramètre(Mandatory=$true)] [string]$BWorknets,
[Parameter(Mandatory=$true)] [string]$CWorknets,
[Parameter(Mandatory=$true)] [string]$BVoipNets,
[Parameter(Mandatory=$true)] [string]$CVoipNets,
[Parameter(Mandatory=$true)] [string]$CClientss,
[Parameter(Mandatory=$true)] [string]$BVPNWORKs,
[Paramètre(Mandatory=$true)] [string]$CVPNWORKs,
[Paramètre(Mandatory=$true)] [string]$BVPNCLIENTSs,
[Paramètre(Mandatory=$true)] [string]$cVPNCLIENTSs,
[Parameter(Mandatory=$true)] [string]$NAMEROUTER,
[Parameter(Mandatory=$true)] [string]$ServerCertificates,
[Parameter(Mandatory=$true)] [string]$infile,
[Parameter(Mandatory=$true)] [string]$outfile
)

Get-Content $infile | Foreach-Object {$_.Replace("EXTERNIP", $EXTERNALIPADDRESS)} |
Foreach-Object {$_.Replace("EXTROUTE", $EXTERNALIPROUTE)} |
Foreach-Object {$_.Replace("BWorknet", $BWorknets)} |
Foreach-Object {$_.Replace("CWorknet", $CWorknets)} |
Foreach-Object {$_.Replace("BVoipNet", $BVoipNets)} |
Foreach-Object {$_.Replace("CVoipNet", $CVoipNets)} |
Foreach-Object {$_.Replace("CClients", $CClientss)} |
Foreach-Object {$_.Replace("BVPNWORK", $BVPNWORKs)} |
Foreach-Object {$_.Replace("CVPNWORK", $CVPNWORKs)} |
Foreach-Object {$_.Replace("BVPNCLIENTS", $BVPNCLIENTSs)} |
Foreach-Object {$_.Replace("CVPNCLIENTS", $cVPNCLIENTSs)} |
Foreach-Object {$_.Replace("MYNAMERROUTER", $NAMEROUTER)} |
Foreach-Object {$_.Replace("ServerCertificate", $ServerCertificate)} | Set-Content $outfile

Miala tsiny aho, tsy afaka mametraka ny fitsipika rehetra aho. tsy ho tsara tarehy. Azonao atao ny manamboatra ny fitsipika, tarihin'ny fomba fanao tsara indrindra.

Ohatra, ity ny lisitry ny rohy izay notarihan'ny ahy:wiki.mikrotik.com/wiki/Manual:Securing_Your_Router
wiki.mikrotik.com/wiki/Manual:IP/Firewall/Sivana
wiki.mikrotik.com/wiki/Manual:OSPF-ohatra
wiki.mikrotik.com/wiki/Drop_port_scanners
wiki.mikrotik.com/wiki/Manual: Winbox
wiki.mikrotik.com/wiki/Manual:Upgrading_RouterOS
wiki.mikrotik.com/wiki/Manual:IP/Fasttrack - eto dia mila mahafantatra ianao fa rehefa alefa ny fasttrack dia tsy mandeha ny laharam-pahamehana amin'ny fifamoivoizana sy ny fitsipiky ny famolavolana - mahasoa ho an'ny fitaovana malemy.

Fifanarahana miovaova:Raisina ho ohatra ireto tambajotra manaraka ireto:
192.168.0.0/24 tambajotra miasa
172.22.4.0/24 tambajotra VOIP
tambajotra 10.0.0.0/24 ho an'ny mpanjifa tsy misy fidirana LAN
192.168.255.0/24 Tambajotra VPN ho an'ny sampana lehibe
172.19.255.0/24 VPN tambajotra ho an'ny kely

Ny adiresin'ny tambajotra dia misy isa 4 decimal, tsirairay avy ABCD, ny fanoloana dia miasa araka ny fitsipika iray ihany, raha manontany B amin'ny fanombohana, dia mila miditra ny isa 192.168.0.0 ho an'ny tambajotra 24/0, ary ho an'ny C = 0. .
$EXTERNALIPADDRESS - adiresy nomena avy amin'ny mpamatsy.
$EXTERNALIPROUTE - lalana mahazatra mankany amin'ny tambajotra 0.0.0.0/0
$BWorknets - Tambajotra miasa, amin'ny ohatra ataontsika dia hisy 168
$CWorknets - Tambajotra miasa, amin'ny ohatra ataontsika dia ho 0 izany
$BVoipNets - tambajotra VOIP amin'ny ohatra asehontsika eto 22
$CVoipNets - tambajotra VOIP amin'ny ohatra asehontsika eto 4
$CClientss - Tambajotra ho an'ny mpanjifa - fidirana amin'ny Internet ihany, raha ny eto amintsika eto 0
$BVPNWORKs - Tambajotra VPN ho an'ny sampana lehibe, amin'ny ohatra 20
$CVPNWORKs - Tambajotra VPN ho an'ny sampana lehibe, amin'ny ohatra 255
$BVPNCLIENTS - Tambajotra VPN ho an'ny sampana kely, midika hoe 19
$CVPNCLIENTS - Tambajotra VPN ho an'ny sampana kely, midika hoe 255
$NAMEROUTER - anaran'ny router
$ServerCertificate - ny anaran'ny taratasy fanamarinana ampidirinao voalohany
$infile - Lazao ny lalana mankany amin'ny rakitra izay hamakiantsika ny config, ohatra D:config.txt (lalana anglisy tsara kokoa tsy misy quotes sy habaka)
$outfile - mamaritra ny lalana hotehirizina, ohatra D:MT-test.txt

Niniako niova ny adiresy ao amin'ny ohatra noho ny antony mazava.

Tsy hitako ny teboka amin'ny fitadiavana fanafihana sy fitondran-tena tsy mety - mendrika ny lahatsoratra misaraka. Saingy ilaina ny manamarika fa amin'ity sokajy ity dia azonao atao ny mampiasa ny soatoavin'ny angon-drakitra fanaraha-maso avy amin'ny Zabbix + miasa amin'ny data curl avy amin'ny elasticsearch.

Inona no tokony hifantohana:

  1. Drafitra tambajotra. Aleo soratana amin'ny endrika mora vakina. Excel dia ampy. Indrisy anefa fa matetika aho no mahita fa ny tambajotra dia natambatra araka ny foto-kevitra hoe "Nisy sampana vaovao niseho, ity ny /24 ho anao." Tsy misy mahafantatra hoe firy ny fitaovana andrasana amin'ny toerana iray ary raha mbola hisy ny fitomboana. Ohatra, nisokatra ny fivarotana kely iray, izay mazava ho azy fa ny fitaovana dia tsy mihoatra ny 10, nahoana no atokana / 24? Ho an'ny sampana lehibe, ny mifanohitra amin'izany, dia manolotra / 24 izy ireo, ary misy fitaovana 500 - afaka manampy tambajotra fotsiny ianao, fa te hieritreritra avy hatrany ny zava-drehetra.
  2. Fitsipika sivana. Raha mihevitra ny tetikasa fa hisy ny fisarahana ny tambajotra sy ny fizarana ambony indrindra. Miova ny fanao tsara indrindra rehefa mandeha ny fotoana. Teo aloha, nizara tambajotra PC sy tambazotra mpanonta izy ireo, ankehitriny dia mahazatra ny tsy mizara ireo tambajotra ireo. Ilaina ny mampiasa saina sy tsy mamokatra subnets maro izay tsy ilaina ary tsy manambatra ny fitaovana rehetra ho tambajotra iray.
  3. Fikirana "Golden" amin'ny router rehetra. Ireo. raha manana drafitra ianao. Ilaina ny mijery mialoha ny zava-drehetra indray mandeha ary miezaka ny hahazoana antoka fa mitovy daholo ny toe-javatra rehetra - tsy misy afa-tsy ny lisitry ny adiresy sy ny adiresy ip. Raha misy olana dia ho kely kokoa ny fotoana hanaovana debugging.
  4. Ny lafiny fandaminana dia tsy latsa-danja noho ny lafiny teknika. Matetika, ny mpiasa kamo dia manaraka ireo tolo-kevitra ireo "amin'ny tanana", nefa tsy mampiasa fanamboarana sy script efa vonona, izay miteraka olana hatrany am-boalohany.

Amin'ny alalan'ny dynamic routing. OSPF misy zoning no nampiasaina. Fa ity dia dabilio fitsapana, amin'ny toe-javatra miady dia mahaliana kokoa ny mametraka ny zavatra toy izany.

Manantena aho fa tsy nisy olona tezitra noho ny tsy nandefasako ny configuration ny router. Heveriko fa ho ampy ny rohy, ary miankina amin'ny fepetra takiana izany. Ary mazava ho azy fa fitsapana, mila fitsapana bebe kokoa.

Mirary ny rehetra hahatanteraka ny tetikasany amin'ny taona vaovao. Enga anie ny fidirana nomena anao!!!

Source: www.habr.com

Add a comment