В этой статье описывается процесс объединения двух офисов с помощью VPN протокола SSTP на базе двух роутеров MikroTik.
Архив метки: Mikrotik
Мониторинг MikroTik с помощью Zabbix
В этой статье будет описан процесс настройки мониторинга роутеров MikroTik по SNMP с помощью сервера Zabbix. Читать
MikroTik CAPsMAN – дополнение.
Это дополнение к описанию настроек диспетчера (контроллера, менеджера) для сети из точек доступа wi-fi. Первую часть настроек можно посмотреть на этой странице.
В данном случае рассматривается дистанционное обновление RouterOS у точек доступа CAPs, а так же их дистанционная перезагрузка и вопрос безопасности подключения к wi-fi.
Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
Дистанционная перезагрузка CAP.
Информационная безопасность CAP.
Проверить версию ОС (прошивки) CAP можно в CAPsMAN на вкладке Remote CAP.
У роутера с CAPsMAN версия прошивки 6.49.7. Поэтому для примера обновим точки доступа с прошивкой ниже 6.49.7.
Определяем архитектуру точек доступа. Её можно увидеть в верхней левой части окна WinBox подключившись к одной из CAP.
Переходим на сайт mikrotik.com и в разделе загрузок находим нужную прошивку.
Прошивка архитектуры smips из ветки Stable (стабильные).
Если точек wi-fi очень много и требуется повышенная стабильность, то лучше выбрать прошивку из ветки Long-term.
Прошивку можно повышать (Upgrade) или понижать (Downgrade). Понижение выполнимо только при подключении к точке доступа.
Скачиваем файл .npk, и переносим в роутер CAPsMAN в папку c удобным названием, например CAPS.
Переходим в настройку CAPs Manager. Указываем путь к скаченной прошивке и политику обновления.
Package Path: /CAPS – путь к файлу обновления.
Upgrade Policy:
require same version – требуется та же версия, т.е. у точки доступа (CAP) должна быть прошивка такой же версии как у диспетчера (CAPsMAN) иначе передача информации управления к точкам (provisioning) прекратится;
Все точки будут видны в Remote CAP, но данные от CAPsMAN получат только те, у которых прошивка такая же, как у самого CAPsMAN.
suggest same version – предлагается та же версия, но не обязательно, выбираем этот вариант.
Первоначальная настройка – none.
Через командную строку терминала.
|
1
| /caps—man manager set enabled=yes package—path=/CAPS upgrade—policy=suggest—same—version |
После нажатия кнопки «Apply» еще некоторое время точки были с прежней прошивкой, минут 5, а потом начали автоматически обновляться до прошивки 6.49.7.
Разные модели и архитектура CAP.
Если точки доступа разных моделей и архитектуры. Например, CAP06 и CAP09 на картинке ниже.
В этом случае скачиваем разные прошивки для разных архитектур и размещаем в папке CAPS. Точки доступа сами разберутся кому какой файл.
Для ускорения процесса начала обновления можно выбрать CAP и нажать кнопку Upgrade.
Через некоторое время видим, что точки доступа обновились каждая своей прошивкой.
Обновление загрузчика в RouterBOARD.
Подключаемся к любой CAP. Переходим в меню System >> RouterBOARD
Нас интересуют строки:
Current Firware – установленная в настоящее время версия.
Upgrade Firmware – версия на которую можно обновиться.
Нажимаем кнопку Settings.
Отмечаем галочкой авто обновление. Сохраняем настройку.
После обновления прошивки загрузчик обновится автоматически. Но есть одна особенность – требуется перезагрузка точки доступа.
Перезагружать дистанционно CAPsMAN не умеет. Значит, это нужно делать через расписание, SSH, Telnet или MAC-telnet.
Дистанционная перезагрузка CAPs.
Перезагрузка через расписание со скриптом.
Создаем новое задание для расписания.
System >> Schedule >> +
Name – любое понятное имя латиницей.
Start Time: startup – время запуска скрипта – при включении.
Policy: reboot, read, write, policy, test – разрешения необходимые для выполнения скрипта.
On Event – скрипт для выполнения.
|
1 2 3 4 5
| :delay 60s; /system routerboard :if ([get current—firmware] != [get upgrade—firmware]) do={ /system reboot } |
Логика такая.
Выполняется дистанционное обновление прошивки CAP и последующая перезагрузка.
CAP включается и далее запускается расписание. Выполняется скрипт, по которому с задержкой в 60 сек.(чтоб точка доступа смогла полностью загрузиться) происходит проверка. Если версия Upgrade Firmware не соответствует Current Firmware, то выполняется перезагрузка.
Следует убедиться что, установлена галочка в RouterBOARD >> Settings >> Auto Upgrade, иначе точка доступа будет перезагружаться бесконечно.
Через командную строку терминала.
|
1 2 3 4 5 6 7
| /system scheduler add name=FW—UPDATE—REBOOT on—event= «:delay 60s;r n/system routerboardr n:if ([get current-firmware] != [get upgrade-firmware]) do={r n/system rebootr n}» policy=reboot,read,write,policy,test start—time=startup |
Схема проверена несколько раз, работает стабильно.
Перезагрузка через MAC—Telnet.
По первоначальной настройке MAC-Telnet активирован и разрешен на всех интерфейсах.
В роутере CAPsMAN переходим в перечень соседних устройств.
IP >> Neighbor.
Выбираем нужную точку доступа и нажимаем кнопку MAC-Telnet.
Вводим логин, пароль.
После удачного подключения выполняем команду перезагрузки.
|
1
| /system reboot |
Можно повысить безопасность в CAPs и указать с каких интерфейсов разрешено подключение.
Создаем список доверенных интерфейсов и указываем в нем ether1 – интерфейс направленный в сторону CAPsMAN.
|
1 2
| /interface list add name=TRUST /interface list member add interface=ether1 list=TRUST |
Разрешаем MAC-Telnet только для интерфейсов из списка доверенных.
Tools >> MAC Server.
|
1
| /tool mac—server set allowed—interface—list=TRUST |
Для выполнения перезагрузки нужно подключатся к каждой точке wi-fi вручную через терминал, вводить логин, пароль и команду на перезагрузку. Это долго и неудобно. Такой метод можно использовать как частный случай.
Перезагрузка через SSH.
При использовании SSH можно автоматизировать процесс и создать скрипт перезагрузки для всех CAPs одновременно.
Предварительно нужно создать и разместить на точках доступа сертификаты.
Так же публичный и приватный сертификаты нужно разместить на роутере управления CAPsMAN.
Создание сертификатов.
Сертификаты созданы в Putty Key Generator.
Чтоб не возникало проблем с импортом приватного сертификата его нужно экспортировать из генератора через Export OpenSSH key. 
Публичный сертификат нужно копировать и вставлять в текстовый файл.
Импорт сертификатов.
Переносим сертификаты с компьютера на роутер CAPsMAN.
Импортируем сертификаты для указанного пользователя.
System >> Users
Импортируем публичный ключ в точку доступа (CAP).
System >> Users
|
1
| user ssh—keys import public—key—file=1—PUBLIC—CAPS.txt |
В терминале роутера (CAPSMAN) выполняем команду.
|
1
| /system ssh address=192.168.111.50 user=admin command=«/system reboot» |
Точка доступа доступа wi-fi перезагрузится.
Добавляем публичные сертификаты на другие точки доступа (CAPs).
Перезагрузка через скрипт.
System >> Scripts
Создаем скрипт, в котором указываем все CAPs, которые нужно перезагрузить.
Name: CAPS REBOOT – любое понятное имя латиницей.
Policy: read, write, policy, test.
Cource: текст скрипта
|
1 2 3 4
| /system script add dont—require—permissions=no name=«CAPS REBOOT» owner=Heimdallr policy=read,write,policy,test source= «/system ssh-exec address=192.168.111.40 user=admin command=»/system reboot»r n/system ssh-exec address=192.168.111.50 user=admin command=»/system reboot»» |
Если несколько CAPs подключено последовательно (гирляндой) то перезагружать нужно ближнюю к CAPsMAN или к коммутатору с PoE питанием, последующая точка выключится при выключении первой.
Далее, когда требуется, (например, после обновления прошивок) запускаем скрипт и все указанные в нем точки доступа перезагрузятся.
Разрешение доступа по SSH и WinBox.
На CAPs указываем в правиле firewall с каких IP-адресов разрешено подключатся по SSH.
Создаем список доверенных IP-адресов в IP >> Firewall >> Address Lists
Можно указать сеть или конкретный адрес.
|
1
| /ip firewall address—list add address=192.168.1.0/24 list=MANAGEMENT |
Создаем правило для входящего трафика, отбрасывающее подключения по 22 порту для всех IP-адресов, кроме тех, кто в списке.
|
1
| /ip firewall filter add action=drop chain=input port=22 protocol=tcp src—address—list=!MANAGEMENT comment=«SSH MANAGEMENT» |
Так как иногда может понадобиться подключится к точке доступа по WinBox, добавим правило для его порта.
|
1
| /ip firewall filter add action=drop chain=input port=8291 protocol=tcp src—address—list=!MANAGEMENT comment=«WINBOX MANAGEMENT» disabled=yes |
Можно указать два порта в одном правиле через запятую.
Сервисы доступа.
Все не используемые сервисы в CAPs необходимо отключить для повышения безопасности. Оставить нужно только ssh и winbox.
IP >> Services
|
1 2 3 4 5 6
| /ip service set telnet disabled=yes set ftp disabled=yes set www disabled=yes set api disabled=yes set api—ssl disabled=yes |
После выполнения этих действий к точкам доступа возможно подключение только из доверенных IP-адресов.
Пользователь и пароль.
Создаем нового пользователя, одинакового для всех CAPs. Задаем ему полный доступ.
|
1
| user add name=Heimdall password=Password12345 group=full |
Указываем сложный пароль из букв разного регистра, цифр и спецсимволов.
Если требуется, импортируем для него сертификат, для доступа по SSH.
|
1
| user ssh—keys import public—key—file=1—PUBLIC—CAPS.txt user=Heimdall |
Нового пользователя нужно исправить в скриптах, если они используются.
Пользователя admin удаляем, предварительно зайдя в настройку под новым созданным пользователем.
|
1
| user remove admin |
Правило подключения клиентов wi—fi.
Так как беспроводная сеть предназначена для конкретных производственных целей, а не для личных телефонов сотрудников или гостей, в специальном списке перечислены все устройства которым можно подключаться к wi-fi. Для всех остальных подключение невозможно. Такая настройка называется иногда подключение по белому списку.
Настройка выполняется в CAPsMAN.
Первоначально клиентский планшет подключается к wi-fi без всяких запретов, это нужно чтоб не переписывать вручную его MAC-адрес.
На вкладке Registration Table выбираем подключенного клиента и копируем в Access List (ACL).
Переходим в Access List, выбираем нужного клиента и указываем ему разрешающее действие при подключении.
Таким способом добавляем все клиентские устройства.
В самом низу списка Access List создаем правило с отклоняющим (reject) действием без указания MAC-адреса.
В итоге, к любой точке доступа всей сети wi-fi смогут подключаться только те устройства, чей MAC-адрес добавлен в список ACL.
Новогодний бонус.
Можно настроить SSID у CAPs в виде симпатичных emoje. Это будет выглядеть так.
Для создания такого SSID нужно:
1.Выбираем emoje какие понравятся, на сайте.
2.Копируем код emoje в генератор Mikrotik Unicode SSID Generator.
3.Получившийся код переносим в MikroTik (CAPsMAN) через команду в терминале.
Например при создании конфигурации.
|
1 2
| /caps—man configuration add channel=CH—2GHZ country=belarus datapath=DATAPATH—1 installation=indoor m ode=ap name=CONFIG—1 security=SECURITY—1 ssid=«F09F8E84F09F8E85F09F8C9FE29883EFB88FF09F8DB0F09F8E89F09F8E81» |
Или при редактировании конфигурации.
|
1
| /caps—man configuration set CONFIG—1 ssid=«F09F8E84F09F8E85F09F8C9FE29883EFB88FF09F8DB0F09F8E89F09F8E81» |
Если это отдельная точка wi-fi без управления CAPsMAN то просто изменяем SSID.
|
1
| /interface wireless set [find name=«wlan1»] ssid=«F09F8E84F09F8E85F09F8C9FE29883EFB88FF09F8DB0F09F8E89F09F8E81» |
Всем успехов в Новом году!
Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
2022-12-18T14:24:06
MikroTik
MikroTik CAPsMAN – сеть точек доступа wi-fi.
Поставлена задача организовать беспроводную сеть для рабочего процесса в организации (не для телефонов сотрудников). Для этой цели решено использовать CAPsMAN (Controlled Access Point system Manager) – диспетчер управляемых точек доступа. Он позволяет централизовать управление беспроводной сетью и при необходимости выполнять обработку данных. Все управляемые точки доступа (Controlled Access Points или CAPs) получают от него настройки. У всех точек доступа один общий SSID. Так же диспетчер позволяет централизованно обновлять прошивки управляемых точек. Плавное переключение клиента от точки со слабым сигналом к точке с хорошим сигналом без разрыва соединения, системой не предусматривается. В настоящее время (2022г) в CAPsMAN нет функционала бесшовного wi-fi.
Zabbix — система мониторинга оборудования в ЛВС (на ОС Ubuntu20).
Zabbix – это система мониторинга сетевого оборудования с широкими возможностями. Официальный сайт.
В описании ниже пример установки Zabbix-сервера в нашей организации. Информация поступает на сервер от различного сетевого оборудования внутри локальной сети. От Интернета сеть отделена сетевым экраном и считается условно безопасной. Вопросы информационной безопасности в описании не рассматриваются, но обязательны.
Начальный порядок действий — установка ОС и удаленного доступа.
Сервер установлен на ПК со следующими параметрами:
Процессор: Intel Core I5-3450 3.1ГГцх4.
ОЗУ: 8Гб.
HDD: 2Tb.
Сетевая карта 1Гбит/сек.
Сервер подключен в сеть, ему раздается IP-адрес по DHCP с доступом к Интернету.
Этот же компьютер используется в нашей локальной сети как сервер сбора логов.
Скачиваем Ubuntu 20. Desktop image с графическим интерфейсом.
Создаем установочную флэшку с помощью ПО Rufus и переносим скачанный образ на нее.
Загружаемся с установочной флэшки.
Выбираем – Try or Install Ubuntu.
Далее откроется мастер установки.
Выбраны следующие параметры:
Install Ubuntu – установить Ubuntu.
English – язык системы.
Keyboard layout – English – язык клавиатуры.
Normal installation – тип установки – нормальная.
Download updates while installing Ubuntu – загрузить обновления вовремя установки (если подключен Интернет).
Erase disk and install Ubuntu – стереть диск и установить Ubuntu (все данные с диска удаляются!).
Where are you – выбираем часовой пояс.
Who are you – имя ПК, логин, пароль.
После установки вытаскиваем из ПК флэшку и нажимаем кнопку «Ввод» на клавиатуре.
Система установлена. Вводим указанный ранее логин и пароль и попадаем на рабочий стол.
Компьютер подключен в сеть. IP-адрес присвоился по DHCP.
Запускаем терминал Ctrl+Alt+T.
Входим от имени root.
|
1
| sudo su — root |
Вводим пароль учетной записи. Ввод пароля не отображается.
Далее все действия в терминале выполняются с правами root.
Обновляем систему.
|
1 2
| apt—get update apt—get upgrade —y |
Настройка удаленного доступа.
Подключение будет происходить от ПК с Windows 10 к ПК с Ubuntu 20.
Запускаем терминал. Вводим команды.
|
1
| apt install xrdp —y |
Выполнится установка.
Выходим из профиля.
Power Off >> Log Out.
(если не выйти, то по RDP не войти)
Подключаемся по RDP из Windows на IP-адрес ПК с Ubuntu.
Win+R >> mstsc.
Вводим IP-адрес.
Вводим логин-пароль (без указания домена).
Попадаем на рабочий стол Ubuntu.
Установка доп. ПО необходимого для работы Zabbix.
Для работы Zabbix потребуются следующие компоненты:
Apache
PHP
MYSQL
Запускаем терминал Ctrl+Alt+T. Входим от имени root.
|
1
| sudo su — root |
Вводим пароль учетной записи. Ввод пароля не отображается.
Далее все действия в терминале выполняются с правами root.
Установка Apach2.
Устанавливаем apach2.
|
1
| apt—get install apache2 —y |
Включаем автозапуск.
|
1
| systemctl enable apache2 |
Запускаем службу
|
1
| systemctl start apache2 |
Проверяем статус
|
1
| systemctl status apache2 |
Active (running) – значит работает.
Можно посмотреть страницу приветствия перейдя в браузере по адресу:
|
1
| http://localhost |
Установка PHP.
Информация о пакете php.
|
1
| apt show php |
(текущая версия 7.4)
Можно посмотреть какие есть модули.
|
1
| apt—cache search php7.4 |
Установка.
|
1
| apt—get install php7.4 —y |
Установка дополнительных модулей.
Для работы, ускорения и прочих особенностей выбраны сл. модули.
|
1
| apt—get install libapache2—mod—php7.4 |
(работа с apache, возможно он уже установлен автоматически)
|
1
| apt—get install php7.4—mysql |
(работа с bd mysql)
|
1
| apt—get install php7.4—curl |
(библиотека для передачи через протоколы http https)
|
1
| apt—get install php7.4—xml |
(взаимодействие с xml)
|
1
| apt—get install php7.4—gd |
(работа с графикой)
Эти два модуля возможно уже присутствуют.
|
1
| apt—get install php7.4—json |
(сериализация объектов в текст )
|
1
| apt—get install php7.4—opcache |
(кэш кода php для ускорения обработки большого кол-ва запросов)
Проверка работы php.
В командной строке создаем файл info.php
|
1
| vi /var/www/html/info.php |
Вставляем в файл содержание.
|
1
| <?php phpinfo(); ?> |
Выходим из редактора vi
esc
|
1
| :wq |
(сохранить и закрыть)
В браузере проверяем ссылку
|
1
| http://localhost/info.php |
Должна открыться страница параметров php.
Установка MYSQL.
|
1
| apt—get install mysql—server —y |
Добавление в автозагрузку и старт
|
1 2
| systemctl enable mysql systemctl start mysql |
Проверка версии mysql
|
1
| mysqld —version |
Проверка статуса mysql
|
1
| systemctl status mysql |
Active (running) – работает.
После всех установок нужно перезапустить веб-сервер
|
1
| systemctl restart apache2 |
Установка Zabbix.
Переходим на официальный сайт и выбираем компоненты для установки.
Выбраны компоненты как на картинке.
На основании выбранных компонентов ниже генерируется код для установки. Копируем его по шагам в терминал.
OS Distribution Ubuntu или Ubuntu (arm64) выбирается в зависимости от разрядности процессора.
Устанавливаем репозиторий Zabbix и выполняем обновление списка пакетов для установки.
Скачиваем.
|
1
| wget https://repo.zabbix.com/zabbix/6.2/ubuntu/pool/main/z/zabbix-release/zabbix-release_6.2-2%2Bubuntu20.04_all.deb |
Устанавливаем пакет zabbix
|
1
| dpkg —i zabbix—release_6.2—2+ubuntu20.04_all.deb |
Обновляем списки пакетов.
|
1
| apt update |
Устанавливаем компоненты Zabbix.
Сервер.
|
1
| apt install zabbix—server—mysql —y |
Веб-интерфейс
|
1
| apt install zabbix—frontend—php —y |
Настройка для apache.
|
1
| apt install zabbix—apache—conf —y |
Настройка-скрипт для импорта данных в базу sql.
|
1
| apt install zabbix—sql—scripts —y |
Агент.
|
1
| apt install zabbix—agent —y |
Создадим базу данных с названием zabbix, пользователя с паролем и назначим права.
Заходим в mysql с правами root.
|
1
| mysql —u root |
(пароля нет)
|
1
| create database zabbix character set utf8mb4 collate utf8mb4_bin; |
|
1
| create user zabbix@localhost identified by ‘password’; |
|
1
| grant all privileges on zabbix.* to zabbix@localhost; |
|
1
| set global log_bin_trust_function_creators = 1; |
|
1
| flush privileges; |
|
1
| exit; |
Импорт схемы.
|
1
| zcat /usr/share/zabbix—sql—scripts/mysql/server.sql.gz | mysql —default—character—set=utf8mb4 —uzabbix —p zabbix |
(вводим пароль password, ждем пару минут)
Отключение настройки log_bin_trust_function_creators
|
1
| mysql —root |
|
1
| set global log_bin_trust_function_creators = 0; |
|
1
| exit; |
Добавляем пароль БД в конфигурацию Zabbix.
Используем редактор vi.
|
1
| vi /etc/zabbix/zabbix_server.conf |
Вставляем в файл строку.
|
1
| DBPasswor=password |
Сохранить и выйти.
|
1
| :wq |
Пароль — password представлен для примера, в реальной ситуации нужно выбирать сложный пароль.
Перезапускаем программы
|
1
| systemctl restart zabbix—server apache2 |
Автозапуск при включении.
|
1
| systemctl enable zabbix—server zabbix—agent |
Статус сервера
|
1
| systemctl status zabbix—server |
В браузере переходим по адресу.
|
1
| http://localhost/zabbix |
Нажимаем кнопку «Next step».
Проверка предварительных требований. Нажимаем «Next step».
Следующий шаг – параметры базы данных.
Вводим пароль – password. Нажимаем кнопку «Next step».
На следующем шаге указываем имя сервера и часовой пояс. Нажимаем «Next step».
Проверяем всю введенную информацию. Нажимаем «Next step».
Завершаем настройку нажав «Finish».
На странице авторизации вводим учетные данные Zabbix.
Логин: Admin.
Пароль: zabbix.
Установка завершена.
Русификация.
Выполняем команду для изменения локальных настроек.
|
1
| dpkg—reconfigure locales |
Выбираем стрелками вверх-вниз ru_RU.UTF-8 UTF-8 и ru_RU ISO-8859-5. Отмечаем на пробел. Нажимаем TAB, чтоб перейти на ОК. Нажимаем Ввод.
Перезапускаем apache и zabbix
|
1
| systemctl restart zabbix—server apache2 |
В настройках профиля выбираем русский язык.
Интерфейс становится на русском.
Удаление Zabbix.
|
1
| apt—get purge zabbix* |
Удаление компонентов Zabbix.
|
1 2 3 4 5
| apt remove zabbix—server—mysql —y apt remove zabbix—frontend—php —y apt remove zabbix—apache—conf —y apt remove zabbix—sql—scripts —y apt remove zabbix—agent —y |
Мониторинг сетевых устройств с помощью Zabbix.
Добавление в Zabbix-сервер роутера MikroTik.
Мониторинг осуществляется через протокол SNMP — Simple Network Management Protocol или простой протокол управления сетью.
Настройка выполняется на MikroTik RB750GR3 с прошивкой v6.49 через WinBox в защищенной локальной сети.
Активация SNMP.
В боковом меню выбираем System >> SNMP.
Отмечаем галочкой Enabled для активации.
Trap Version: 2 – версия trap для SNMPv2.
Настройка Community.
Выбираем сообщество «public» нажав кнопку «Communities» и настраиваем его. 
Addresses: 192.168.5.120 – IP-адрес с которого можно подключатся к микротику по SNMP (это IP-адресс сервера Zabbix).
Проверяем галочку Read Access – только чтение.
Сохраняем настройку.
Так же сохраняем настройку в окне SNMP Settings.
Через командную строку терминала:
|
1 2
| /snmp community set [ find default=yes ] addresses=192.168.5.120/32 /snmp set enabled=yes trap—version=2 |
Выполняем настройку в ZABBIX.
Добавляем новый хост.
Мониторинг >> Узлы сети >> Создать узел сети.
Имя узла сети – GW-LAN-5 – название роутера в локальной сети.
Шаблоны – выбираем MikroTik hEX SNMP – в соответствии с моделью роутера.
Группы узлов сети – Discovered hosts или своя любая группа.
Интерфейсы >> SNMP, IP-адрес 192.168.5.30 – адрес роутера в сети. Порт 161 без изменений.
Интерфейсы >> Версия SNMP – SNMPv2.
Нажимаем кнопку «Добавить».
В боковом меню выбираем «Узлы сети» и видим что статус роутера – «Доступен».
Можно посмотреть различную информацию по этому хосту, выбрав последние данные, это – температура, нагрузка на CPU, память и многое другое.
Если мониторинг не заработал, то нужно проверить доступность портов, проверить файервол в Ubuntu на котором установлен Zabbix, трассу между сервером и роутером на наличие дополнительных промежуточных роутеров с ограничивающими трафик правилами.
Удаление хоста из Zabbix.
Выбираем нужный хост и переходим в настройку.
В нижней части экрана нажимаем «Удалить».
Добавление в Zabbix-сервер ПК с ОС Windows.
Скачиваем и устанавливаем агента Zabbix с официального сайта.
Выбираем параметры файла для загрузки под свою систему и скачиваем.
В данном случае выбран дистрибутив для ОС Windows под платформу c 64 разрядным процессором (не обязательно фирмы AMD) версия Zabbix 6.2 с шифрованием передачи данных между сервером и агентом, установочный пакет MSI.
Если выбрать PACKAGING >> Archive, то нужно будет выполнять установку через командную строку.
Устанавливаем скаченного агента.
Путь установки и содержание можно не менять.
На следующем шаге указываем IP-адрес сервера Zabbix.
Завершаем установку.
Агент будет работать в виде службы. Убедиться в этом можно перейдя в службы.
Далее переходим на сервер Zabbix.
В боковом меню выбираем «Узлы сети» (Hosts).
Создаем новый узел сети.
Указываем имя хоста. Оно должно соответствовать реальному имени ПК.
Добавляем несколько стандартных шаблонов Windows.
Выбираем их из списка.
Добавляем группу и IP-адрес хоста с установленным агентом.
Через пару минут проверяем состояние хоста на сервере. Агент доступен.
Можно посмотреть получаемые данные.
Если не заработало.
Проверяем файл конфигурации.
|
1
| C:Program FilesZabbix Agentconfzabbix_agentd.conf |
Смотрим активные строки.
Строки, начинающиеся знаком #, — это комментарии.
LogFile=C:Program FilesZabbix Agentzabbix_agentd.log – место сохранения лога.
Server=192.168.5.120 – IP-адрес Zabbix-сервера.
ServerActive=192.168.5.120:10051 IP-адрес Zabbix-сервера для активных проверок.
Hostname=ADMIN101-GO имя ПК, должно соответствовать написанному в Zabbix-сервере.
Проверяем файл логов и выясняем причины ошибок, если они есть.
Проверяем правило брандмауэра Windows.
При установке, программа сама создает правило, но оно какое-то странное, разрешает любую активность, поэтому решено его не использовать.
Создано правило разрешающее входящее соединение по порту 10050 только с IP-адреса Zabbix-сервера.
Порт 10050 используется для доступа сервер-агент.
Порт 10051 используется для доступа агент-сервер.
Можно открыть в файрволе Ubuntu временно для проверки доступ на входящие и исходящие соединения для портов 10050 и 10051 для любых источников.
Сперва лучше проверить связь от сервера до агента через telnet.
Подключаемся к серверу, открываем терминал, вводим команду.
|
1
| telnet 192.168.5.15 10050 |
На картинке результат при нормально работающем агента.
Добавление в Zabbix-сервер ПК с ОС Ubuntu.
Скачиваем и устанавливаем агента Zabbix с официального сайта.
Выбираем параметры файла для загрузки под свою систему и скачиваем.
КОМПОНЕТ ЗАББИКС – Agent (выбираем агента).
На основании выбранных компонентов ниже генерируется код для установки. Копируем его по шагам в терминал.
Скачиваем.
|
1
| wget https://repo.zabbix.com/zabbix/6.2/ubuntu-arm64/pool/main/z/zabbix-release/zabbix-release_6.2-3%2Bubuntu20.04_all.deb |
Устанавливаем пакет zabbix
|
1
| dpkg —i zabbix—release_6.2—3+ubuntu20.04_all.deb |
Обновляем списки пакетов.
|
1
| apt update |
Устанавливаем компонент zabbix-agent.
|
1
| apt install zabbix—agent —y |
Перезапускаем агент и включаем его запуск при старте системы.
|
1 2
| systemctl restart zabbix—agent systemctl enable zabbix—agent |
Проверяем статус агента.
|
1
| systemctl status zabbix—agent |
Active (running) – значит работает.
Изменяем файл конфигурации Zabbix-агента через редактор vi.
|
1
| vi /etc/zabbix/zabbix_agentd.conf |
Находим строку Server=127.0.0.1 и вписываем IP-адрес Zabbix-сервера.
Находим строку #HostName= раскомментируем ее (убираем #) и указываем актуальное имя ПК на котором агент.
Находим строку # ListenPort и раскомментируем ее.
Порт 10050 используется для связи сервер-агент.
Для активных проверок так же можно указать адрес сервера Заббикс.
Сперва нужно определиться, какой режим мониторинга будет использоваться: активный или пассивный.
При пассивном – запрос приходит от сервера и агент ему отвечает.
При активном – агент сам отправляет серверу данные и не ждет от него запроса, сверяя только шаблон.
У нас в сети используется в основном пассивный мониторинг.
Выходим и сохраняем.
Esc
|
1
| :wq |
Перезапускаем агента.
|
1
| systemctl restart zabbix—agent |
Далее переходим на сервер Zabbix.
В боковом меню выбираем «Узлы сети» (Hosts).
Создаем новый узел сети.
Заполняем необходимые поля.
Имя узла сети должно соответствовать реальному имени ПК и тому, что написано в файле конфигурации агента.
Шаблон выбираем для Linux.
Группа узлов сети любая.
Интерфейс – указываем IP-адрес компьютера с установленным агентом. Порт 10050 остается без изменений.
Нажимаем кнопку «Добавить».
Через некоторое время смотрим на статус добавленного узла.
Статус – Доступен.
Если не заработало.
Проверяем связь от сервера до агента через telnet.
На сервере открываем терминал, вводим команду.
|
1
| telnet 192.168.5.18 10050 |
На картинке нормальный результат. Подключение и через некоторое время отключение.
Проверяем еще раз файл конфигурации.
|
1
| /etc/zabbix/zabbix_agentd.conf |
Минимально необходимыми в нем должны быть только такие строки.
|
1 2 3 4 5 6 7
| PidFile=/run/zabbix/zabbix_agentd.pid LogFile=/var/log/zabbix—agent/zabbix_agentd.log LogFileSize=0 Server=192.168.5.120 ListenPort=10050 ServerActive=192.168.5.120 Hostname=UBUNTU—PC |
Проверяем файл логов и выясняем причины ошибок, если они есть.
|
1
| /var/log/zabbix—agent/zabbix_agentd.log |
Проверяем состояние служб и портов.
Устанавливаем net-tool (если раньше не было установлено)
|
1
| apt install net—tools |
Просмотр работающих сервисов.
|
1
| netstat —pnltu |
Проверяем firewall Ubuntu.
Если на сервере закрыты все порты, то можно временно для проверки открыть порты 10050 и 10051 на все направления.
Подключаемся с правами root.
|
1
| sudo su — root |
(пароль)
Добавляем правила.
Для 10051.
|
1 2
| iptables —A INPUT —p tcp —dport 10051 —j ACCEPT iptables —A OUTPUT —p tcp —dport 10051 —j ACCEPT |
Для 10050.
|
1 2
| iptables —A OUTPUT —p tcp —dport 10050 —j ACCEPT iptables —A INPUT —p tcp —dport 10050 —j ACCEPT |
Просмотр созданных правил.
|
1
| iptables —L |
Если это помогло, то конкретизируем направления, указав IP-адреса источника и назначения (сервер-клиент).
Если не помогло, удаляем все правила.
|
1
| iptables —F |
2022-11-08T16:49:24
Настройка ПО
RouterOS Scanner для Mikrotik от Microsoft
В марте этого года Microsoft выпустила необычный продукт — бесплатный Open Source сканер заражения RouterOS (Mikrotik) — RouterOS Scanner. Он выполняет следующие проверки на устройствах: