Доброго времени суток! Ситуация следующая.
Имеется сеть микротиков на несколько десятков устройств, объединённых меж собой VPN l2tp+IPsec (диапазон пусть будет 192.168.0.1 - 192.168.60.1, где 192.168.70.1 - сервер VPN, развёрнутый на 0.1).
В первой подсети, помимо основного микротика 192.168.1.1 имеется hAP ac2, переведённый в режим CAP моста и получающий ip 192.168.1.2. На последнем установлен и настроен The Dude сервер версии 6.49.1, который замечательно справляется со своими задачами.
И все были бы счастливы, НО(!) во всех остальных подсетях в логах роутеров бесконечные записи "login failure for user admin from 192.168.70.1 via winbox", хотя состояние роутеров успешно снимается по SNMP, а в колонке устройств Status: up, RouterOS Status: ok. Если отключить TheDude, новые записи не появляются.
Если нажать Reconnect, в логах будет успешная авторизация, а через время - опять логи с той же ошибкой.
Можно было б обвинить фаервол и закрытые порты winbox, да вот подключение разрешено из всей локальной сети, что легко проверяется, подключаясь к устройствам отдельно, по winbox.
В нашей сети мониторинг по TheDude - решение новое. Названная проблема существует с момента первого запуска, а пути её решения находятся за пределами границ моей смекалки. Да поможет мне коллективный опыт и компетенция сообщества
Бесконечные login failure for user admin на mikrotik'ах, которые мониторит The Dude сервер
-
- Модератор
- Сообщения: 3336
- Зарегистрирован: 01 окт 2012, 14:48
Если мониторинга по snmp достаточно, то отключите в Dude на проблемных устройствах галочку router os.
-
- Сообщения: 7
- Зарегистрирован: 17 дек 2021, 10:04
Галочка с RouterOS не снимается. Во всяком случае, после применения, выхода и возвращения в настройки устройства, она снова присутствует, а проблемные устройства продолжают получать ошибки авторизации. К тому же, если отключить функционал RouterOS, не получится следить на карте за состоянием канала pppoe.
Обновлено: галочка RouterOS всё-таки снимается, но не с первого раза, пришлось проявить настойчивость. Мониторинг состояния канала pppoe получилось снять с помощью snmp. Но проблему это не решило, ошибки авторизации продолжают сыпаться на устройства.
Смущает тот факт, что такие ошибки лишь за пределами подсети, где стоит Dude, микротик "рядом" с ним прекрасно себя чувствует и с галочкой RouterOS и без каких-либо доп костылей. В других же подсетях ошибки авторизации, хотя подключение по дефолтному порту winbox разрешено
Обновлено: галочка RouterOS всё-таки снимается, но не с первого раза, пришлось проявить настойчивость. Мониторинг состояния канала pppoe получилось снять с помощью snmp. Но проблему это не решило, ошибки авторизации продолжают сыпаться на устройства.
Смущает тот факт, что такие ошибки лишь за пределами подсети, где стоит Dude, микротик "рядом" с ним прекрасно себя чувствует и с галочкой RouterOS и без каких-либо доп костылей. В других же подсетях ошибки авторизации, хотя подключение по дефолтному порту winbox разрешено
-
- Сообщения: 7
- Зарегистрирован: 17 дек 2021, 10:04
Решение оказалось из разряда "а ларчик просто открывался"
Методом научного тыка обнаружил следующую настройку. Заходим в клиент TheDude, над левой колонкой главного окна "Settings" > "Syslog", в которой мы снимаем галочку с "Enable". После этого ошибки сыпаться перестали.
По умолчанию функция включена и стучится в 514 порт, который, если верить wiki, отвечает за доставку в систему сообщений о происходящих в системе событиях. Отключил функцию за ненадобностью. Альтернативным вариантом можно разрешить в фаерволе идти трафику через этот порт.
Спасибо gmx за участие. Всех с наступающим 2022-м годом!
Методом научного тыка обнаружил следующую настройку. Заходим в клиент TheDude, над левой колонкой главного окна "Settings" > "Syslog", в которой мы снимаем галочку с "Enable". После этого ошибки сыпаться перестали.
По умолчанию функция включена и стучится в 514 порт, который, если верить wiki, отвечает за доставку в систему сообщений о происходящих в системе событиях. Отключил функцию за ненадобностью. Альтернативным вариантом можно разрешить в фаерволе идти трафику через этот порт.
Спасибо gmx за участие. Всех с наступающим 2022-м годом!
-
- Сообщения: 7
- Зарегистрирован: 17 дек 2021, 10:04
Но и счастье было недолгим. На микротике, где стоит TheDude ночью отработал скрипт по бекапированию на ftp сервер. С этого момента все логи в тех же красных записях: login failure for user admin from 192.168.70.1 via winbox. И указанным выше решением это не исправляется. Пока что, увеличил интервалы подключения к RouterOS в TheDude до одного раза в день (ранее стояла раз в минуту): заходим в клиент TheDude, над левой колонкой главного окна "Settings" > "RouterOS" > Connection Interval увеличиваем до 24:00:00 (но можно и произвольно до одного раза в 10 лет!)
-
- Сообщения: 542
- Зарегистрирован: 03 сен 2017, 03:08
- Откуда: Marienburga
Вписать правильный <user name> и <password> в устройстве на карте DUDE
-
- Сообщения: 7
- Зарегистрирован: 17 дек 2021, 10:04
Вписанные логины и пароли несомненно правильные, что неоднократно проверено и перепроверено. Были попытки авторизации как с дополнительных пользователей специально для Dude, так и дефолтной админской учётки. Результату был один - ошибки. Сейчас во вкладке Server Configuration/RouterOS параметр Connection Interval стоит в значении 24:00:00, что избавляет от бесконечного ежеминутного флуда.
-
- Модератор
- Сообщения: 3336
- Зарегистрирован: 01 окт 2012, 14:48
Попробуйте написать в mikrotik. Может чего и подскажут.
-
- Сообщения: 1484
- Зарегистрирован: 23 ноя 2018, 11:08
- Откуда: Харкiв
Сверьте версии ROS, там в какой то версии происходили изменения и ниже её пароли не проходят.
1-е Правило WiFi - Везде где только можно откажитесь от WiFi!
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
2-е Правило WiFi -Устройство, которое пользователь не носит с собой постоянно, должно подключаться кабелем!!
Микротики есть разные: черные, белые, красные. Но все равно хочется над чем нибудь заморочится.
-
- Сообщения: 7
- Зарегистрирован: 17 дек 2021, 10:04
Версия на всех наблюдаемых роутерах: 6.49.2 (stable)
Версия роутера, где поселил TheDude: 6.49.1 (stable) . Ставил её т.к. на момент написания статьи не было клиента совместимого с сервером