ProHoster > Blog > Pulega > O la'u galuega faatino e le'i faataunuuina. Fesootaiga o 200 MikroTik routers

O la'u galuega faatino e le'i faataunuuina. Fesootaiga o 200 MikroTik routers

O la'u galuega faatino e le'i faataunuuina. Fesootaiga o 200 MikroTik routers

Talofa uma. O lenei tusiga e faʻamoemoe mo i latou o loʻo i ai le tele o masini Mikrotik i totonu o latou vaʻa, ma e manaʻo e faia le faʻatasiga maualuga ina ia le faʻafesoʻotaʻi eseese i masini taʻitasi. I totonu o lenei tusiga o le a ou faʻamatalaina se galuega faatino, o le mea e leaga ai, e leʻi oʻo i tulaga taua ona o tagata. I se faapuupuuga: sili atu i le 200 routers, seti vave ma aʻoaʻoga a le aufaigaluega, tuʻufaʻatasiga i le itulagi, faʻamama fesoʻotaʻiga ma 'au faʻapitoa, o le mafai ona faigofie faʻaopoopo tulafono i masini uma, faʻapipiʻiina ma le puleaina o avanoa.

O le mea o loʻo faʻamatalaina i lalo e le faʻafoliga o se mataupu ua saunia, ae ou te faʻamoemoe o le a aoga ia te oe pe a fuafuaina au fesoʻotaʻiga ma faʻaitiitia mea sese. Atonu o nisi manatu ma fofo atonu e foliga mai e le sa'o atoatoa ia te oe - afai o lea, tusi i faʻamatalaga. O faitioga i lenei tulaga o le a avea ma se poto masani mo le faleteuoloa masani. O le mea lea, le tagata faitau, vaʻai i faʻamatalaga, masalo na faia e le tusitala se mea sese matuia - o le a fesoasoani le nuʻu.

Ole aofa'i ole 'auala e 200-300, fa'ata'ape'apeina i 'a'ai 'ese'ese ma 'ese'ese lelei o feso'ota'iga Initaneti. E tatau ona faia mea uma ma le matagofie ma faʻamalamalama manino i pulega faʻapitonuʻu pe faʻapefea ona aoga mea uma.

O fea la e amata ai se galuega? Ioe, faatasi ai ma ТЗ.

  1. Faʻatulagaina o se fuafuaga fesoʻotaʻiga mo lala uma e tusa ai ma manaʻoga o tagata faʻatau, vaega o fesoʻotaʻiga (mai le 3 i le 20 fesoʻotaʻiga i lala e faʻatatau i le numera o masini).
  2. Fa'atulaga masini i lala ta'itasi. Siaki le saoasaoa o le gaosiga moni o le kamupani i lalo o tulaga faʻaogaina eseese.
  3. Faʻatonuina o le puipuiga o masini, pulega paʻepaʻe, suʻesuʻeina faʻataʻitaʻiga o osofaʻiga ma le lisi-blacklist mo se taimi patino, faʻaitiitia le faʻaogaina o auala faʻapitoa e faʻaaogaina e faʻaogaina ai le puleaina o avanoa ma faʻafitia le auaunaga.
  4. Fa'atulagaina o feso'ota'iga VPN saogalemu ma le fa'amama o feso'otaiga e tusa ai ma mana'oga o tagata fa'atau. La'ititi 3 VPN feso'ota'iga mai lala ta'itasi i le ogatotonu.
  5. Faʻavae i luga o manatu 1, 2. Filifili auala sili ona lelei e fausia ai VPN faʻafefe-faʻafefe. Afai e fa'amaonia sa'o, e mafai ona filifilia e le konekarate le fa'aogaina o tekonolosi.
  6. Fa'atulagaina o le fa'amuamua o felauaiga e ala i protocols, ports, hosts ma isi auaunaga fa'apitoa e fa'aogaina e le tagata fa'atau. (VOIP, talimalo i auaunaga taua)
  7. Fa'atulagaina o le mata'ituina ma le fa'amauina o mea e tutupu i le router mo le tali atu a le aufaigaluega lagolago fa'apitoa.

E pei ona tatou malamalama i ai, i le tele o tulaga o faʻamatalaga faʻapitoa e faʻatulagaina e faʻatatau i manaʻoga. Na ou faʻatulagaina nei manaʻoga e aʻu lava, ina ua uma ona faʻalogo i faʻafitauli autu. Na ia ioeina le avanoa e mafai ai e se isi ona taulimaina ia vaega.

O a meafaigaluega o le a faʻaaogaina e faʻataunuʻu ai manaʻoga nei:

  1. ELK stack (ina ua mavae sina taimi, na manino mai o le fluentd o le a faʻaaogaina nai lo logstash).
  2. Ansible. Mo le fa'afaigofieina o le pulega ma avanoa fa'asoa, matou te fa'aogaina le AWX.
  3. GITLAB. E leai se mea e manaʻomia ona faʻamatalaina iinei. O fea tatou te iai e aunoa ma le fa'atonutonuina o la tatou configs?
  4. PowerShell. O le ai ai se faʻamatalaga faigofie mo le amataga o le config.
  5. Doku wiki, mo le tusiaina o faʻamaumauga ma taʻiala. I lenei tulaga, matou te faʻaogaina le habr.com.
  6. O le mataituina o le a faia e ala i le zabbix. O le a tusia fo'i iina se ata feso'ota'iga mo se malamalamaaga lautele.

EFK setup points

E tusa ai ma le vaega muamua, o le a na o le faʻamatalaina o le talitonuga e fausia ai faʻailoga. E tele
tala sili ona lelei i le faʻatulagaina ma le mauaina o ogalaau mai masini faʻaogaina mikrotik.

O le a ou mafaufau i nisi o vaega:

1. E tusa ai ma le ata, e aoga le mafaufau i le mauaina o ogalaau mai nofoaga eseese ma luga o ports eseese. Mo lenei mea o le a matou faʻaaogaina se log aggregator. Matou te mananaʻo foʻi e fai faʻataʻitaʻiga lautele mo tagata taʻavale uma ma le mafai ona faʻasoa avanoa. Ona matou fausia lea o faʻailoga e pei ona taua i lalo:

o se vaega lenei o le config ma fluentd ituaiga elasticsearch
logstash_format moni
index_name mikrotiklogs.north
logstash_prefix mikrotiklogs.north
flush_interval 10s
'au elastikearch: 9200
taulaga 9200

O le auala lea e mafai ai ona tatou tuʻufaʻatasia alalaupapa ma vaega e tusa ai ma le fuafuaga - mikrotiklogs.west, mikrotiklogs.south, mikrotiklogs.east. Aisea e fa'afaigata ai? Matou te malamalama e 200 pe sili atu foi masini. E le mafai ona e siaki mea uma. Faatasi ai ma le version 6.8 o le elasticsearch, o loʻo avanoa mo i matou tulaga saogalemu (e aunoa ma le faʻatauina o se laisene), o lea e mafai ai ona matou tufatufa atu aia tatau i le va o tagata faigaluega lagolago faʻapitoa poʻo pulega faʻapitonuʻu.
Laupapa, kalafi - o iinei e tatau ona e malilie - pe faʻaaoga tutusa, pe faia e tagata uma le mea e talafeagai mo ia.

2. E ala i le taina. Afai tatou te fa'atagaina le fa'aoga i totonu o tulafono o le firewall, ona tatou faia lea o igoa e aunoa ma ni avanoa. E mafai ona iloa e ala i le faʻaaogaina o se faʻaoga faigofie i le fluentd, e mafai ona tatou faʻamama faʻamaumauga ma faia ni paneta talafeagai. O le ata o loʻo i lalo o laʻu router fale.

O la'u galuega faatino e le'i faataunuuina. Fesootaiga o 200 MikroTik routers

3. I le vateatea o lo'o nofoia ma ogalaau. I le averesi, faʻatasi ai ma le 1000 feʻau i le itula, o ogalaau e ave i luga 2-3 MB i le aso, lea, e te vaʻai, e le tele. Elasticsearch version 7.5.

ANSIBLE.AWX

O le mea e lelei ai mo i matou, o loʻo i ai a matou mea faʻapipiʻi saunia mo routeros
Na ou taʻua e uiga i le AWX, ae o tulafono o loʻo i lalo e naʻo le ansible i lona tulaga mama - Ou te manatu mo i latou na galulue ma ansible, o le a leai ni faʻafitauli e faʻaaoga ai le awx e ala i le gui.

Ina ia faʻamaoni, aʻo leʻi oʻo i lenei mea sa ou vaʻavaʻai i isi taʻiala na latou faʻaogaina ai le ssh, ma e eseese uma i latou faʻafitauli i le taimi tali ma le tele o isi faʻafitauli. Ou te toe fai atu, e leʻi oʻo mai i se fusuaga , ave lenei faʻamatalaga o se faʻataʻitaʻiga e leʻi sili atu nai lo le tulaga o 20 routers.

Matou te manaʻomia le faʻaaogaina o se tusi faamaonia poʻo se teugatupe. E pule lava oe, o a'u mo tusi pasi. O nisi manatu maaleale e uiga i aia tatau. Ou te tuʻuina atu aia tatau - a itiiti mai o le "reset config" e le aoga.

E le tatau ona i ai ni faʻafitauli i le fausiaina, kopiina ma le faʻaulufaleina mai o le tusi faamaonia:

Lisi fa'atonuga puupuuI lau PC
ssh-keygen -t RSA, tali fesili, sefe le ki.
Kopi ile mikrotik:
fa'aoga ssh-ki fa'aulufale mai le public-key-file=id_mtx.pub user=ansible
Muamua e tatau ona e fatuina se teugatupe ma tuʻuina atu aia tatau i ai.
Siaki le feso'ota'iga e fa'aaoga ai le tusi pasi
ssh -p 49475 -i /ki/mtx [imeli puipuia]

Resitala vi /etc/ansible/hosts
MT01 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ansible
MT02 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ansible
MT03 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ansible
MT04 ansible_network_os=routeros ansible_ssh_port=49475 ansible_ssh_user= ansible

Ia, o se faʻataʻitaʻiga tusi taʻaloga: - igoa: add_work_sites
'au: testmt
fa'asologa: 1
feso'ota'iga: network_cli
remote_user: mikrotik.west
gather_facts: ioe
galuega:
- igoa: fa'aopoopo Work_sites
routeros_command:
faʻatonu:
— /ip firewall address-list add address=gov.ru list=work_sites comment=Ticket665436_Ochen_nado
— /ip firewall address-list add address=habr.com list=work_sites comment=for_habr

E pei ona mafai ona e vaʻaia mai le faʻatulagaga o loʻo i luga, o le fatuina o au lava tusi taʻaloga e le faigata. Ua lava le pulea lelei cli mikrotik. Sei o tatou mafaufau i se tulaga e te manaʻomia e aveese ai le lisi o tuatusi faʻatasi ma faʻamatalaga patino i luga o alalaupapa uma, ona:

Su'e ma aveese/ip firewal address-list aveese [saili po o fea lisi = "gov.ru"]

Ou te le'i fa'aaofia ai le lisi atoa o le firewall iinei ona... o le a ta'ito'atasi mo galuega ta'itasi. Ae tasi le mea e mafai ona ou fai atu ma le mautinoa, faʻaaoga naʻo le lisi o tuatusi.

E tusa ai ma le GITLAB e manino mea uma. O le a ou le toe mafaufau i lea tulaga. E matagofie mea uma mo galuega taʻitasi, faʻataʻitaʻiga, faʻatau.

Malosiaga

E 3 faila iinei. Aisea le powershell? E mafai ona e filifilia soʻo se meafaigaluega mo le faʻatupuina o configs, soʻo se mea e sili atu ona faigofie mo oe. I lenei tulaga, e tofu tagata uma ma Windows i luga o la latou PC, aisea la e fai ai i le bash pe a sili atu le faigofie o le powershell. O le fea e sili atu ona faigofie?

Le tusitusiga lava ia (faigofie ma malamalama):[cmdletBinding()] Param(
[Parameter(Mandatory=$true)] [ manoa]$FAUFAAFADDDRESS,
[Parameter(Mandatory=$true)] [string]$EXTERNALIPROUTE,
[Parameter(Mandatory=$true)] [string]$BWorknets,
[Parameter(Mandatory=$true)] [string]$CWorknets,
[Parameter(Mandatory=$true)] [string]$BVoipNets,
[Parameter(Mandatory=$true)] [string]$CVoipNets,
[Parameter(Mandatory=$true)] [string]$CClients,
[Parameter(Mandatory=$true)] [string]$BVPNWORKs,
[Parameter(Mandatory=$true)] [string]$CVPNWORKs,
[Parameter(Mandatory=$true)] [string]$BVPNCLIENTSs,
[Parameter(Mandatory=$true)] [string]$cVPNCLIENTSs,
[Parameter(Mandatory=$true)] [string]$NAMEROUTER,
[Parameter(Mandatory=$true)] [string]$ServerCertificates,
[Parameter(Mandatory=$true)] [string]$infile,
[Parameter(Mandatory=$true)] [string]$outfile
)

Maua-Content $infile | Fuafuaga-mea {$_.Suia("FAUFA'A'OA'O", $FAUFA'A'OA'OGA)} |
Fuafuaga-mea {$_.Suia("EXTROUTE", $EXTERNALIPROUTE)} |
Foreach-Object {$_.Suia("BWorknet", $BWorknets)} |
Foreach-Object {$_.Suia("CWorknet", $CWorknets)} |
Foreach-Object {$_.Suia("BVoipNet", $BVoipNets)} |
Foreach-Object {$_.Suia("CVoipNet", $CVoipNets)} |
Foreach-Object {$_.Suia("CClients", $CClientss)} |
Fuafuaga-mea {$_.Suia("BVPNWORK", $BVPNWORKs)} |
Fuafuaga-mea {$_.Suia("CVPNWORK", $CVPNWORKs)} |
Fuafuaga-mea {$_.Suia("BVPNCLIENTS", $BVPNCLIENTSs)} |
Fuafuaga-mea {$_.Suia("CVPNCLIENTS", $cVPNCLIENTSs)} |
Foreach-Object {$_.Suia("MYNAMERROUTER", $NAMEROUTER)} |
Foreach-Object {$_.Replace("ServerCertificate", $ServerCertificate)} | Seti-Content $outfile

Fa'amolemole fa'amagalo mai, e le mafai ona ou fa'asalalau uma tulafono ona... o le a le manaia tele. E mafai ona e faia e oe lava ia tulafono, e taʻitaʻia e faiga sili ona lelei.

Mo se faʻataʻitaʻiga, o se lisi lenei o fesoʻotaʻiga na ou mulimuli ai:wiki.mikrotik.com/wiki/Manual:Securing_Your_Router
wiki.mikrotik.com/wiki/Manual:IP/Paepuipui/File
wiki.mikrotik.com/wiki/Manual:OSPF-faʻataʻitaʻiga
wiki.mikrotik.com/wiki/Drop_port_scanners
wiki.mikrotik.com/wiki/Manual: Winbox
wiki.mikrotik.com/wiki/Manual: Fa'aleleia_RouterOS
wiki.mikrotik.com/wiki/Manual: IP/Fasttrack - o iinei e tatau ona e iloa pe a faʻagaoioia le saoasaoa, o le faʻamuamua o feoaiga ma tulafono faʻatulagaina o le a le aoga - aoga mo masini vaivai.

Fa'ailoga mo fesuiaiga:O feso'ota'iga nei e fai ma fa'ata'ita'iga:
192.168.0.0/24 feso'ota'iga galue
172.22.4.0/24 feso'otaiga VOIP
10.0.0.0/24 feso'ota'iga mo tagata fa'atau e aunoa ma se avanoa i feso'otaiga fa'apitonu'u
192.168.255.0/24 VPN fesoʻotaʻiga mo lala tetele
172.19.255.0/24 VPN feso'ota'iga mo la'ititi

O le tuatusi fesoʻotaʻiga e aofia ai le 4 numera numera, ABCD, o le sui e galue i luga o le mataupu faavae lava e tasi, pe afai i le amataga e fesili mo B, o lona uiga e tatau ona e ulufale i le numera 192.168.0.0 mo le fesoʻotaʻiga 24/0, ma mo C. = 0.
$EXTERNALIPADDDRESS - tuatusi fa'apitoa mai le kamupani.
$EXTERNALIPROUTE - fa'aletonu le ala ile feso'otaiga 0.0.0.0/0
$BWorknets - Network network, i la matou faʻataʻitaʻiga o le a iai le 168
$CWorknets - Feso'ota'iga galue, i la matou fa'ata'ita'iga o le 0 lea
$BVoipNets - VOIP fesoʻotaʻiga i la matou faʻataʻitaʻiga iinei 22
$CVoipNets - VOIP fesoʻotaʻiga i la matou faʻataʻitaʻiga iinei 4
$CClientss - Feso'ota'iga mo tagata fa'atau - Na'o le initaneti, i le matou tulaga iinei 0
$BVPNWORKs - VPN fesoʻotaʻiga mo lala tetele, i la matou faʻataʻitaʻiga 20
$CVPNWORKs - VPN network mo lala tetele, i la matou faʻataʻitaʻiga 255
$BVPNCLIENTS - VPN network mo lala laiti, o lona uiga 19
$CVPNCLIENTS - VPN network mo lala laiti, o lona uiga 255
$NAMEROUTER - igoa ole router
$ServerCertificate - le igoa o le tusipasi na e fa'aulufaleina muamua mai
$infile - Faʻailoa le ala i le faila lea o le a tatou faitau ai le config, mo se faʻataʻitaʻiga D:config.txt (sili atu le ala Igilisi e aunoa ma ni upusii ma avanoa)
$outfile - faʻamaonia le ala e teu ai, mo se faʻataʻitaʻiga D:MT-test.txt

Ua ou suia ma le loto i ai tuatusi i faataitaiga mo mafuaaga manino.

Na ou misia le manatu e uiga i le suʻeina o osofaʻiga ma amioga faʻaleagaina - e tatau ona i ai se isi tusitusiga. Ae e taua le faʻailoa atu i lenei vaega e mafai ona e faʻaogaina le mataʻituina o faʻamaumauga o faʻamaumauga mai le Zabbix + faʻapipiʻiina curl data mai elasticsearch.

O a vaega e tatau ona e gauai i ai:

  1. Fuafuaga feso'ota'iga. E sili atu le tusi vave i se faiga e mafai ona faitau. Excel o le a lava. Ae paga lea, e masani ona ou vaʻaia o fesoʻotaʻiga e fausia e tusa ai ma le mataupu faavae "Ua aliali mai se lala fou, o le /24 lenei mo oe." E leai se tasi o loʻo mafaufauina pe fia ni masini e faʻamoemoeina i se nofoaga tuʻufaʻatasia pe o le ai ai se faʻatupulaia atili. Mo se faʻataʻitaʻiga, o se tamaʻi faleoloa na tatalaina lea na muai manino ai o le masini e le sili atu i le 10, aisea e faʻasoa ai /24? Mo lala tetele, i se isi itu, latou te tuʻuina atu /24, ma e 500 masini - e mafai ona e faʻaopoopoina se fesoʻotaiga, ae e te manaʻo e mafaufau i mea uma i le taimi e tasi.
  2. Fa'atonu tulafono. Afai e manatu le poloketi o le ai ai le tuueseeseina o fesoʻotaʻiga ma le maualuga o le vaeluaga. Fa'ata'ita'iga Sili e suia ile taimi. I le taimi muamua, o se PC fesoʻotaʻiga ma se lomitusi fesoʻotaʻiga na vaeluaina, ae o le taimi nei o se mea masani le le vaeluaina o nei fesoʻotaʻiga. E aoga le faʻaogaina o le mafaufau masani ma le le faia o le tele o subnets e le manaʻomia ma e le tuʻufaʻatasia uma masini i totonu o le tasi fesoʻotaʻiga.
  3. "Golden" tulaga i luga o routers uma. O na. pe afai ua e filifili i se fuafuaga. E taua le vaʻai muamua o mea uma ma taumafai e faʻamautinoa e tutusa uma tulaga - naʻo le lisi o tuatusi ma tuatusi IP e ese. Afai e tulaʻi mai faʻafitauli, o le a faʻaitiitia le taimi o le debugging.
  4. O mataupu faʻalapotopotoga e le itiiti ifo le taua nai lo mataupu faʻapitoa. E masani lava o tagata paie latou te faia nei fautuaga "ma le lima", e aunoa ma le faʻaogaina o faʻatonuga ma tusitusiga, lea e iu ai ina oʻo atu i faʻafitauli e leai se mea.

E ala i le ta'amilosaga malosi. O le OSPF ma le vaevaega sone sa fa'aaogaina. Ae o se suʻega suʻega lea; e sili atu ona manaia le faʻatulagaina o ia mea i tulaga tau.

Ou te faʻamoemoe e leai se tasi e le fiafia ona ou te leʻi faʻapipiʻiina le faʻaogaina o le router. Ou te manatu o le a lava fesoʻotaʻiga, ona faʻalagolago lea o mea uma i manaʻoga. Ma o le mea moni o suʻega, e manaʻomia nisi suʻega.

Ou te moomoo ia iloa e tagata uma a latou galuega faatino i le tausaga fou. Talosia ia maua le avanoa e te maua!!!

puna: www.habr.com

Faaopoopo i ai se faamatalaga