Il-proġett tiegħi mhux lest. Netwerk ta' 200 MikroTik router

Hi kollha. Dan l-artikolu huwa maħsub għal dawk li għandhom ħafna apparati Mikrotik fil-park, u li jridu jagħmlu unifikazzjoni massima sabiex ma jgħaqqdux ma 'kull apparat separatament. F'dan l-artikolu, ser niddeskrivi proġett li, sfortunatament, ma laħaqx kundizzjonijiet ta 'ġlieda minħabba fatturi umani. Fil-qosor: aktar minn 200 router, setup ta 'malajr u taħriġ tal-persunal, unifikazzjoni skont ir-reġjun, netwerks ta' filtrazzjoni u hosts speċifiċi, il-kapaċità li żżid faċilment regoli għall-apparati kollha, illoggjar u kontroll tal-aċċess.

Dak li hu deskritt hawn taħt ma jippretendix li huwa każ lest, imma nittama li jkun utli għalik meta tippjana n-netwerks tiegħek u timminimizza l-iżbalji. Forsi xi punti u deċiżjonijiet ma jidhrux pjuttost korretti għalik - jekk iva, ikteb fil-kummenti. Il-kritika f'dan il-każ se tkun esperjenza f'piggy bank komuni. Għalhekk, qarrej, ħares fil-kummenti, forsi l-awtur għamel żball kbir - il-komunità tgħin.

In-numru ta 'routers huwa 200-300, imxerrda fi bliet differenti bi kwalità differenti ta' konnessjoni tal-Internet. Huwa meħtieġ li tagħmel kollox sabiħ u tispjega lill-amministraturi lokali b'mod aċċessibbli kif kollox se jaħdem.

Allura minn fejn jibda kull proġett? Naturalment, ma TK.

1. Organizzazzjoni ta 'pjan ta' netwerk għall-fergħat kollha skond il-ħtiġijiet tal-klijenti, segmentazzjoni tan-netwerk (minn 3 sa 20 netwerk f'fergħat, skond in-numru ta 'apparati).
2. Waħħal apparati f'kull fergħa. Iċċekkjar tal-bandwidth reali tal-fornitur f'kundizzjonijiet tax-xogħol differenti.
3. Organizzazzjoni tal-protezzjoni tal-apparat, kontroll tal-lista bajda, skoperta awtomatika ta 'attakki b'lista sewda awtomatika għal ċertu perjodu ta' żmien, minimizzazzjoni tal-użu ta 'diversi mezzi tekniċi użati biex jinterċettaw aċċess ta' kontroll u ċaħda ta 'servizz.
4. Organizzazzjoni ta 'konnessjonijiet vpn siguri b'filtrazzjoni tan-netwerk skont il-ħtiġijiet tal-klijenti. Mill-inqas 3 konnessjonijiet vpn minn kull fergħa għaċ-ċentru.
5. Ibbażat fuq il-punti 1, 2. Agħżel l-aħjar modi biex tibni vpn tolleranti għall-ħsarat. It-teknoloġija tar-rotot dinamiku, bil-ġustifikazzjoni korretta, tista' tintgħażel mill-kuntrattur.
6. Organizzazzjoni tal-prijoritizzazzjoni tat-traffiku minn protokolli, portijiet, hosts u servizzi speċifiċi oħra li juża l-klijent. (VOIP, hosts b'servizzi importanti)
7. Organizzazzjoni tal-monitoraġġ u l-illoggjar ta' avvenimenti tar-router għar-rispons tal-persunal ta' appoġġ tekniku.

Kif nifhmu, f'xi każijiet, it-TOR hija kkompilata mir-rekwiżiti. I fformulajt dawn ir-rekwiżiti waħdi, wara li smajt il-problemi ewlenin. Huwa ammetta l-possibbiltà li xi ħadd ieħor jista’ jieħu l-implimentazzjoni ta’ dawn il-punti.

Liema għodod se jintużaw biex jissodisfaw dawn ir-rekwiżiti:

1. ELK munzell (wara xi żmien, kien mifhum li fluentd se jintuża minflok logstash).
2. Ansible. Għal faċilità ta 'amministrazzjoni u qsim ta' aċċess, aħna se nużaw AWX.
3. GITLAB. M'hemmx għalfejn tispjega hawn. Fejn mingħajr kontroll tal-verżjoni tal-konfigurazzjonijiet tagħna.
4. PowerShell. Se jkun hemm skript sempliċi għall-ġenerazzjoni inizjali tal-konfigurazzjoni.
5. Doku wiki, għall-kitba ta' dokumentazzjoni u manwali. F'dan il-każ, nużaw habr.com.
6. Monitoraġġ se jsir permezz ta’ zabbix. Se jkun hemm ukoll dijagramma tal-konnessjoni għal fehim ġenerali.

Punti ta' setup EFK

Fuq l-ewwel punt, se niddeskrivi biss l-ideoloġija li fuqha se jinbnew l-indiċi. Hemm ħafna
artikoli eċċellenti dwar it-twaqqif u r-riċeviment ta' zkuk minn tagħmir li jħaddem mikrotik.

Se nieqaf fuq xi punti:

1. Skont l-iskema, ta 'min jikkunsidra li tirċievi zkuk minn postijiet differenti u fuq portijiet differenti. Biex tagħmel dan, se nużaw aggregatur ta 'log. Irridu wkoll nagħmlu grafika universali għar-routers kollha bil-kapaċità li jaqsmu l-aċċess. Imbagħad nibnu l-indiċi kif ġej:

hawnhekk hija biċċa ta 'konfigurazzjoni ma fluentd elasticsearch
logstash_format veru
isem_indiċi mikrotiklogs.tramuntana
logstash_prefix mikrotiklogs.north
flush_interval 10s
hosts elasticsearch: 9200
port 9200

Għalhekk, nistgħu ngħaqqdu routers u segment skond il-pjan - mikrotiklogs.west, mikrotiklogs.south, mikrotiklogs.east. Għaliex tagħmilha daqshekk diffiċli? Nifhmu li se jkollna 200 apparat jew aktar. Issegwix kollox. Mill-verżjoni 6.8 ta 'elasticsearch, is-settings tas-sigurtà huma disponibbli għalina (mingħajr ma nixtru liċenzja), għalhekk, nistgħu nqassmu d-drittijiet tal-wiri bejn l-impjegati ta' appoġġ tekniku jew l-amministraturi tas-sistema lokali.
Tabelli, graphs - hawn biss trid taqbel - jew tuża l-istess, jew kulħadd jagħmel hekk kif ikun konvenjenti għalih.

2. Permezz tal-qtugħ. Jekk nippermettu log fir-regoli tal-firewall, allura nagħmlu l-ismijiet mingħajr spazji. Wieħed jista 'jara li bl-użu ta' konfigurazzjoni sempliċi f'fluentd, nistgħu niffiltraw id-dejta u nagħmlu pannelli konvenjenti. L-istampa hawn taħt hija r-router tad-dar tiegħi.

3. Skond l-ispazju okkupat u zkuk. Bħala medja, b'1000 messaġġ fis-siegħa, ir-zkuk jieħdu 2-3 MB kuljum, li, tara, mhux daqshekk. elasticsearch verżjoni 7.5.

ANSIBLE.AWX

Fortunatament għalina, għandna modulu lest għal routeros
Irrimarkat dwar AWX, iżda l-kmandi hawn taħt huma biss dwar ansible fil-forma l-aktar pura tiegħu - naħseb għal dawk li ħadmu ma ansible, mhux se jkun hemm problemi bl-użu ta 'awx permezz tal-gui.

Biex inkun onest, qabel ħarist lejn gwidi oħra fejn użaw ssh, u kulħadd kellu problemi differenti bil-ħin ta 'rispons u mazz ta' problemi oħra. Nirrepeti, ma waslitx għall-battalja , ħu din l-informazzjoni bħala esperiment li ma marx lil hinn minn stand ta '20 router.

Għandna bżonn nużaw ċertifikat jew kont. Huwa f'idejk li tiddeċiedi, jien għal ċertifikati. Xi punt sottili dwar id-drittijiet. Nagħti d-drittijiet li nikteb - mill-inqas "reset config" mhux se taħdem.

M'għandux ikun hemm problemi bil-ġenerazzjoni, l-ikkupjar taċ-ċertifikat u l-importazzjoni:

Lista qasira ta 'kmandiFuq il-PC tiegħek
ssh-keygen -t RSA, wieġeb mistoqsijiet, ħlief iċ-ċavetta.
Ikkopja għal mikrotik:
user ssh-keys import public-key-file=id_mtx.pub user=ansible
L-ewwel trid toħloq kont u talloka drittijiet għalih.
Iċċekkja l-konnessjoni maċ-ċertifikat
ssh -p 49475 -i /keys/mtx [protett bl-email]

Ikteb vi /etc/ansible/hosts
MT01 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ansible
MT02 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ansible
MT03 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ansible
MT04 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ansible

Ukoll, eżempju ta 'playbook: isem: add_work_sites
hosts:testmt
serjali: 1
konnessjoni:network_cli
remote_user: mikrotik.west
gather_facts: iva
kompiti:
isem: żid Work_sites
routeros_command:
jikkmanda:
- /ip firewall address-list add address=gov.ru list=work_sites comment=Ticket665436_Ochen_nado
- /ip firewall address-list add address=habr.com list=work_sites comment=for_habr

Kif tistgħu taraw mill-konfigurazzjoni ta 'hawn fuq, il-kumpilazzjoni tal-playbooks tiegħek hija kwistjoni sempliċi. Huwa biżżejjed li tikkontrolla cli mikrotik tajjeb biżżejjed. Immaġina sitwazzjoni fejn għandek bżonn tneħħi l-lista tal-indirizzi b'ċerta data fuq ir-routers kollha, imbagħad:

Sib u neħħi/ip firewal address-list neħħi [sib fejn list="gov.ru"]

I deliberatament ma inklużi l-lista tal-firewall kollu hawn. se jkun individwali għal kull proġett. Imma nista 'ngħid ħaġa waħda żgur, uża biss il-lista tal-indirizzi.

Skont GITLAB, kollox huwa ċar. Mhux se nitkellem fuq dan il-mument. Kollox huwa sabiħ f'termini ta 'kompiti individwali, mudelli, handlers.

PowerShell

Se jkun hemm 3 fajls. Għaliex powershell? L-għodda għall-ġenerazzjoni tal-konfigurazzjonijiet tista' tintgħażel minn kull min ikun aktar komdu. F'dan il-każ, kulħadd għandu twieqi fuq il-PC tiegħu, allura għaliex tagħmel dan fuq bash meta powershell huwa aktar konvenjenti. Min hu aktar komdu.

L-iskript innifsu (sempliċi u li jinftiehem):[cmdletBinding()] Param(
[Parametru(Obbligatorju=$true)] [string]$EXTERNALIPADDRESS,
[Parametru(Obbligatorju=$true)] [string]$EXTERNALIPROUTE,
[Parametru(Obbligatorju=$true)] [string]$BWorknets,
[Parametru(Obbligatorju=$true)] [string]$CWorknets,
[Parametru(Obbligatorju=$true)] [string]$BVoipNets,
[Parametru(Obbligatorju=$true)] [string]$CVoipNets,
[Parametru(Obbligatorju=$true)] [string]$CClientss,
[Parametru(Obbligatorju=$true)] [string]$BVPNWORKs,
[Parametru(Obbligatorju=$true)] [string]$CVPNWORKs,
[Parametru(Obbligatorju=$true)] [string]$BVPNCLIENTSs,
[Parametru(Obbligatorju=$true)] [string]$cVPNCLIENTSs,
[Parametru(Obbligatorju=$true)] [string]$NAMEROUTER,
[Parametru(Obbligatorju=$true)] [string]$ServerCertificates,
[Parametru(Obbligatorju=$true)] [string]$infile,
[Parametru(Obbligatorju=$true)] [string]$outfile
)

Get-Kontenut $infile | Foreach-Oġġett {$_.Replace("EXTERNIP", $EXTERNALIPADDRESS)} |
Foreach-Oġġett {$_.Replace("EXTROUTE", $EXTERNALIPROUTE)} |
Foreach-Oġġett {$_.Replace("BWorknet", $BWorknets)} |
Foreach-Oġġett {$_.Replace("CWorknet", $CWorknets)} |
Foreach-Oġġett {$_.Replace("BVoipNet", $BVoipNets)} |
Foreach-Oġġett {$_.Replace("CVoipNet", $CVoipNets)} |
Foreach-Oġġett {$_.Replace("CClients", $CClientss)} |
Foreach-Oġġett {$_.Ssostitwixxi ("BVPNWORK", $BVPNWORKs)} |
Foreach-Oġġett {$_.Ssostitwixxi ("CVPNWORK", $CVPNWORKs)} |
Foreach-Oġġett {$_.Ssostitwixxi ("BVPNCLIENTS", $BVPNCLIENTSs)} |
Foreach-Oġġett {$_.Ssostitwixxi ("CVPNCLIENTS", $cVPNCLIENTSs)} |
Foreach-Oġġett {$_.Replace("MYNAMERROUTER", $NAMEROUTER)} |
Foreach-Oġġett {$_.Replace("ServerCertificate", $ServerCertificates)} | Set-Kontenut $outfile

Nitolbok maħfra, ma nistax nagħmel ir-regoli kollha. mhux se jkun pretty. Tista' tagħmel ir-regoli lilek innifsek, iggwidat mill-aħjar prattiki.

Pereżempju, hawn lista ta’ links li ġejt iggwidat minn:wiki.mikrotik.com/wiki/Manual:Securing_Your_Router
wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filtru
wiki.mikrotik.com/wiki/Manual:OSPF-eżempji
wiki.mikrotik.com/wiki/Drop_port_scanners
wiki.mikrotik.com/wiki/Manual:Winbox
wiki.mikrotik.com/wiki/Manual:Upgrading_RouterOS
wiki.mikrotik.com/wiki/Manual:IP/Fasttrack - hawnhekk trid tkun taf li meta l-fasttrack ikun attivat, ir-regoli tal-prijoritizzazzjoni tat-traffiku u l-iffurmar ma jaħdmux - utli għal apparati dgħajfa.

Konvenzjonijiet varjabbli:In-netwerks li ġejjin jittieħdu bħala eżempju:
192.168.0.0/24 netwerk tax-xogħol
172.22.4.0/24 Netwerk VOIP
Netwerk 10.0.0.0/24 għal klijenti mingħajr aċċess għal LAN
192.168.255.0/24 Netwerk VPN għal fergħat kbar
172.19.255.0/24 Netwerk VPN għaż-żgħar

L-indirizz tan-netwerk jikkonsisti f'4 numri deċimali, rispettivament ABCD, is-sostituzzjoni taħdem skond l-istess prinċipju, jekk titlob lil B fl-istartjar, allura trid iddaħħal in-numru 192.168.0.0 għan-netwerk 24/0, u għal C = 0 .
$EXTERNALIPADDRESS - indirizz allokat mill-fornitur.
$EXTERNALIPROUTE - rotta default għan-netwerk 0.0.0.0/0
$BWorknets - Netwerk li jaħdem, fl-eżempju tagħna se jkun hemm 168
$CWorknets - Netwerk tax-xogħol, fl-eżempju tagħna se jkun 0
$BVoipNets - netwerk VOIP fl-eżempju tagħna hawn 22
$CVoipNets - netwerk VOIP fl-eżempju tagħna hawn 4
$CClientss - Netwerk għall-klijenti - aċċess biss għall-Internet, fil-każ tagħna hawn 0
$BVPNWORKs - Netwerk VPN għal fergħat kbar, fl-eżempju tagħna 20
$CVPNWORKs - Netwerk VPN għal fergħat kbar, fl-eżempju tagħna 255
$BVPNCLIENTS - Netwerk VPN għal fergħat żgħar, tfisser 19
$CVPNCLIENTS - Netwerk VPN għal fergħat żgħar, tfisser 255
$NAMEROUTER - isem tar-router
$ServerCertificate - l-isem taċ-ċertifikat li qed timporta l-ewwel
$infile - Speċifika t-triq għall-fajl li minnu se naqraw il-konfigurazzjoni, pereżempju D:config.txt (mogħdija aħjar bl-Ingliż mingħajr kwotazzjonijiet u spazji)
$outfile - speċifika t-triq fejn issalva, pereżempju D:MT-test.txt

Bdejt deliberatament l-indirizzi fl-eżempji għal raġunijiet ovvji.

Tlift il-punt dwar l-iskoperta ta 'attakki u mġiba anomali - dan jistħoqqlu artiklu separat. Iżda ta 'min jirrimarka li f'din il-kategorija tista' tuża valuri ta 'dejta ta' monitoraġġ minn Zabbix + dejta tal-curl maħduma minn elasticsearch.

X'punti li wieħed jiffoka fuq:

1. Pjan tan-netwerk. Huwa aħjar li tiktebha f'forma li tinqara. Excel huwa biżżejjed. Sfortunatament, spiss nara li n-netwerks huma kkompilati skont il-prinċipju "Dehret fergħa ġdida, hawn /24 għalik." Ħadd ma jsir jaf kemm huma mistennija apparati f'post partikolari u jekk hux se jkun hemm aktar tkabbir. Pereżempju, fetaħ maħżen żgħir, li fih inizjalment huwa ċar li l-apparat mhux se jkun aktar minn 10, għaliex jalloka / 24? Għal fergħat kbar, għall-kuntrarju, jallokaw / 24, u hemm apparat 500 - tista 'sempliċement iżżid netwerk, imma trid taħseb kollox minnufih.
2. Regoli ta' filtrazzjoni. Jekk il-proġett jassumi li se jkun hemm separazzjoni ta 'netwerks u segmentazzjoni massima. L-Aħjar Prattiki jinbidlu maż-żmien. Preċedentement, qasmu netwerk tal-PC u netwerk tal-printer, issa huwa pjuttost normali li ma jaqsmux dawn in-netwerks. Ta 'min juża s-sens komun u li ma tipproduċix ħafna subnets fejn mhumiex meħtieġa u ma tgħaqqadx l-apparati kollha f'netwerk wieħed.
3. Settings "Golden" fuq ir-routers kollha. Dawk. jekk għandek pjan. Ta 'min ibassar kollox mill-ewwel u tipprova tiżgura li s-settings kollha huma identiċi - hemm biss lista ta' indirizzi u indirizzi ip differenti. F'każ ta 'problemi, il-ħin għad-debugging se jkun inqas.
4. L-aspetti organizzattivi mhumiex inqas importanti minn dawk tekniċi. Ħafna drabi, impjegati għażżien isegwu dawn ir-rakkomandazzjonijiet "manwalment", mingħajr ma jużaw konfigurazzjonijiet u skripts lesti, li fl-aħħar mill-aħħar iwassal għal problemi mill-bidu.

Permezz ta 'routing dinamiku. Intuża OSPF b'zoning. Iżda dan huwa bank tat-test, f'kundizzjonijiet ta 'ġlied affarijiet bħal dawn huma aktar interessanti biex jitwaqqfu.

Nispera li ħadd ma kien imdejjaq li ma ppubblikajtx il-konfigurazzjoni tar-routers. Naħseb li r-rabtiet se jkunu biżżejjed, u allura kollox jiddependi fuq ir-rekwiżiti. U ovvjament testijiet, aktar testijiet huma meħtieġa.

Nixtieq lil kulħadd jirrealizza l-proġetti tiegħu fis-sena l-ġdida. Jalla l-aċċess mogħti jkun miegħek!!!

Sors: www.habr.com