Траблшутинг MikroTik. Решаем распространенные проблемы с легендарными роутерами
Самая распространенная жалоба — «у нас ничего не работает», причем чаще всего это неправда. Если у босса не открывается вложение в письме с темой «вы выиграли миллион», потому что его заблокировал антивирус, то настраивать роутер в этот день вряд ли придется. Поэтому один из важных скиллов для админа — это умение разговаривать с пользователем и выяснять, что именно и как не работает. Увы, этому я в статье научить не могу, так что переходим сразу к технической части.
Ресурсы
Первое, на что обращает внимание любой системный администратор, — потребление ресурсов. Благо WinBox выводит эти данные прямо в главном окне. А если еще не выводит — сейчас же добавляй их туда. Это сэкономит много времени в будущем. Тебе нужно меню Dashboard → Add. И кстати, зеленый квадратик в правой верхней части — это не загрузка процессора. Не обращай на него внимания.
Resources
Если процессор постоянно загружен больше 80% (в зависимости от условий это значение может меняться, но в среднем давай примем такое число), то что‑то неладно. В первую очередь смотрим на местный «диспетчер задач», меню Tools → Profile. Тут мы увидим, что именно нагружает CPU, и поймем, как действовать дальше.
Длительную статистику по нагрузке CPU, трафику на интерфейсах и другим параметрам можно увидеть в Tools → Graphing.
Profile
Объяснение полей ты найдешь в вики. Наиболее часто встречаются DNS, Encrypting и Firewall.
- Encrypting — роутер тратит много ресурсов на шифрование. Скорее всего, у тебя много туннелей VPN и нет аппаратного чипа шифрования. Нужно поменять на железку со специальным чипом или выбрать более слабые алгоритмы.
- Firewall — прямое указание, что ты не читал мои предыдущие статьи �� Файрвол настроен неоптимально.
- DNS — а вот тут тебя ждет кое‑что интересное.
Сам по себе DNS-сервер почти не нагружает роутер в небольших и средних сетях (до нескольких тысяч хостов). А использовать RouterOS в качестве DNS-сервера в больших сетях не лучшая идея. Так откуда нагрузка? Давай разбираться. Если есть нагрузка, значит, что‑то ее создает. Вероятно, серверу DNS приходится отвечать на большое количество запросов. Проверим, так ли это. Создадим в файрволе правило.
И теперь смотрим в лог. Если наши предположения верны, то заметим много сообщений с префиксом DNS. Увидим, с каких адресов и на какие интерфейсы летят запросы. Скорее всего, это будет интерфейс WAN. Но мы не хотим обрабатывать DNS-запросы, пришедшие к нам из интернета. Закроем UDP-порт 53 на интерфейсе WAN, поместим правило в нужном месте — и наслаждаемся снизившейся нагрузкой. Поздравляю! Мы только что обнаружили, что были частью ботнета, закрыли эту дыру и сделали интернет чуточку чище. Подобные атаки часто проводятся с применением протоколов, работающих над UDP.
Firewall
Вообще, умение работать с файрволом несет в себе огромную силу. Грамотно построенное правило укажет, как проходит пакет через систему, в какой интерфейс попадает, из какого уходит дальше и получает ли ответный пакет. По одним только счетчикам можно многое узнать о своей сети.
Counters
В столбцах Bytes и Packets отображаются количество байтов и пакетов, обработанных правилом. Кнопки Reset Counters сбрасывают эти счетчики. Теперь можно наблюдать, попадает ли трафик в нужное правило или нет.
Присоединяйся к сообществу «Xakep.ru»!
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Mikrotik: Диагностика нагрузки с помощью графиков.
Mikrotik Router OS включает в себя замечательную функцию мониторинга и диагностики нагрузки с помощью графиков. Маршрутизатор может показывать графики нагрузки ресурсов (HDD, RAM, CPU), трафика на интерфейсах, очередей в Simple Queues. Ниже мануальчик по настройке.
Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
Заходим Tools -> Graphing.
Вкладка Interface Rules. Здесь настраиваются графики трафика на интерфейсах.
Interface — интерфейсы с которых собирается статистика.
Allow Adresses — ip-адреса с которых доступна статистика.
Store on Disk — сохранять статистику в постоянную память.
Кнопка Graphing Settings — определяет частоту сбора статистики (варианты: 5 мин. / 1 час / сутки)
Вкладка Queues Rules. Здесь настраиваются графики очередей в Simple Queues.
Queues — очереди с которых собирается статистика.
Allow Adresses — ip-адреса с которых доступна статистика.
Store on Disk — сохранять статистику в постоянную память.
Allow Tatget — разрешать ли доступ к графикам от queue’s target-address.
Вкладка Resurses Rules. Здесь настраиваются графики загруженности ресурсов.
Allow Adresses — ip-адреса с которых доступна статистика.
Store on Disk — сохранять статистику в постоянную память.
Вкладки Graphs просто показывают статистику для настройки не используются.
Просмотреть статистику можно по адресу http://<ip-адрес роутера>/graphs Если http порт нестандартный то http://<ip-адрес роутера>:<порт>/graphs
Освоить MikroTik Вы можете с помощью онлайн-куса «Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.
Высокая загрузка процессора Mikrotik. Что делать?
Сетевое оборудование вендора Mikrotik является весьма любопытным и привлекательным продуктом в сегменте SOHO (Small office/home office). Соотношение цены, качества, функционала и стабильности обеспечивает все большее распространение небольших белых коробочек в офисах небольших компаний.
Но спустя какое-то время беззаботного пользования, пользователи начинают жаловаться. Администратор, открыв Winbox, переходит в раздел System → Resources и видит, что загрузка процессора 100%:
Не стоит волноваться. У нас есть решение. Все настройки и «траблшутинг» будем осуществлять с помощью Winbox.
Настройка Firewall в Mikrotik
Первым делом давайте проверим службу, которая больше всего «отъедает» ресурсов процессор. Для этого, перейдем в раздел Tools → Profile:
Как видно из скриншота, львиную долю ресурсов нашего процессора занимает служба DNS. Давайте посмотрим, что происходит на уровне обмена пакетами на основном интерфейс ether1. Для этого воспользуемся утилитой Tools → Torch:
Мы видим большое количество пакетов с различных IP – адресов на 53 порт. Наш Mikrotik отвечает на каждый из таких запросов, тем самым, нерационально используя ресурсы процессора и повышая температуру.
Эту проблему надо решать. Судя по снятому дампу, пакеты приходят с частотой 10-20 секунд с одного IP – адреса. Добавим в наш Firewall два правила:
- Все IP – адреса, пакеты с которых приходят на 53 порт нашего Микротика будут помещаться в специальный лист с названием dns spoofing на 1 час.
- Каждый IP – адрес, с которого будет поступать запрос на 53 порт будет проверяться на предмет нахождения в списке dns spoofing . Если он там есть, мы будем считать, что это DNS – спуфинг с частотой реже чем раз в час и будем дропать данный пакет.
Переходим к настройке. В разделе IP → Firewall → Filter Rules создаем первое правило нажав на значок «+». Во кладке General указываем следующие параметры:
- Chain = input — обрабатываем приходящие пакеты
- Protocol = UDP — нас интересуют пакеты, у которых в качестве транспорта используется UDP
- Dst. Port = 53 — портом назначения должен быть 53 порт, то есть DNS служба
- In. Interface = ether1 — проверка подвергаются все пакеты, которые приходят на интерфейс ether1, который смотрит в публичную сеть.
Переходим во вкладку Action:
- Action = add src to address list — в качестве действия, мы будем добавлять IP – адрес источника в специальный лист
- Address List = dns spoofing — указываем имя листа, в который добавляем IP
- Timeout = 01:00:00 — добавляем на 1 час
Нажимаем Apply и OK. Настроим второе правило, так же нажав на «+»:
Как видно, настройки во вкладке General в данной вкладке идентичны первому правилу. Нажимаем на вкладку Advanced:
- Src. Address List= dns spoofing — указываем Микротику, производить проверку приходящего пакета на предмет нахождения в указанном листе
Переходим во вкладку Action:
- Action = drop — если IP – адрес пакета есть в указанном списке, то дропаем этот пакет.
После того, как оба правила стали активны переходи во вкладку IP → Firewall → Address Lists:
Как видно, адреса стали добавляться в список на 1 час. Теперь давайте проверим загрузку процессора:
Graphing — инструмент мониторинга в RouterOS
В операционной системе RouterOS есть графический инструмент Graphing, позволяющий мониторить различные параметры роутера MikroTik и отображать их на графиках.
Утилита может отображать на графиках следующую информацию:
- Напряжение и температуру Routerboard;
- Загрузку процессора, памяти, использование диска;
- Трафик на сетевых интерфейсах;
- Трафик в очередях simple queues.
Graphing состоит из двух частей: первая часть собирает информацию, а вторая — отображает графики на веб-странице. Чтобы отобразить графики, введите в браузере адрес типа http://[Router_IP_address]/graphs/ где Router_IP_address — IP адрес вашего роутера.
По умолчанию Graphing не отображает графики использования процессора, памяти и диска. Доступны только ссылки на графики сетевых интерфейсов.
Чтобы отобразить графики использования процессора, памяти и диска откройте в программе Winbox меню Tools → Graphing
Далее перейдите на вкладку Resource Rules, нажмите «красный плюсик», и в появившемся окне нажмите кнопку OK.
Обновите в браузере страницу http://[Router_IP_address]/graphs/. В списке появятся ссылки на графики использования процессора, памяти и диска.
Мини графики можно также просмотреть в программе Winbox, если перейти на вкладку Resource Graphs и дважды кликнуть по CPU, HDD или Memory. После этого в новом окне отобразится небольшой график.