Добрый день!Пришёл я тут работать в одну "осиротевшую" контору - админ уволился с полгода назад. У них три площадки, связанные между собой микротиками. Беда в том, что никто не знает пароли от маршрутизаторов. Предыдущий админ уходит в отказ "ничего не помню - давно это было". Всё пока работает, но потихоньку вылазят (пока) мелкие проблемы, которые неплохо было бы промониторить с маршрутизатора.
Все советы, что я пока нашёл в тырнете сводятся только к сбросу маршрутизаторов, но хочется сохранить существующую конфигурацию, о которой я пока имею слабое представление.
Можно ли восстановить доступ к микротикам, не сбрасывая устройства в 0? Поверх настроенных сейчас каналов ходит какой-то VoIP, обмен файлами между поделиями от Mелко$офта. Если сбросить - не факт, что я за день восстановлю весь функционал, а в таком случае, как обычно, я останусь крайним виноватым.
>[оверквотинг удален]
> пока работает, но потихоньку вылазят (пока) мелкие проблемы, которые неплохо было
> бы промониторить с маршрутизатора.
> Все советы, что я пока нашёл в тырнете сводятся только к сбросу
> маршрутизаторов, но хочется сохранить существующую конфигурацию, о которой я пока имею
> слабое представление.
> Можно ли восстановить доступ к микротикам, не сбрасывая устройства в 0? Поверх
> настроенных сейчас каналов ходит какой-то VoIP, обмен файлами между поделиями от
> Mелко$офта. Если сбросить - не факт, что я за день восстановлю
> весь функционал, а в таком случае, как обычно, я останусь крайним
> виноватым.Забыл добавить, если кто вдруг предположит - физический доступ к коробочкам есть, с морально-этической стороной вопроса тоже всё в порядке.
>[оверквотинг удален]
>> Все советы, что я пока нашёл в тырнете сводятся только к сбросу
>> маршрутизаторов, но хочется сохранить существующую конфигурацию, о которой я пока имею
>> слабое представление.
>> Можно ли восстановить доступ к микротикам, не сбрасывая устройства в 0? Поверх
>> настроенных сейчас каналов ходит какой-то VoIP, обмен файлами между поделиями от
>> Mелко$офта. Если сбросить - не факт, что я за день восстановлю
>> весь функционал, а в таком случае, как обычно, я останусь крайним
>> виноватым.
> Забыл добавить, если кто вдруг предположит - физический доступ к коробочкам есть,
> с морально-этической стороной вопроса тоже всё в порядке.Посмотрите официальное руководство, возможно оно даст ответ на ваш вопрос: https://wiki.mikrotik.com/wiki/Manual:Reset
>>[оверквотинг удален]
>>> Все советы, что я пока нашёл в тырнете сводятся только к сбросу
>>> маршрутизаторов, но хочется сохранить существующую конфигурацию, о которой я пока имею
>>> слабое представление.
>>> Можно ли восстановить доступ к микротикам, не сбрасывая устройства в 0?
>> Забыл добавить, если кто вдруг предположит - физический доступ к коробочкам есть,
>> с морально-этической стороной вопроса тоже всё в порядке.
> Посмотрите официальное руководство, возможно оно даст ответ на ваш вопрос: https://wiki.mikrotik.com/wiki/Manual:ResetДык там только [u]Reset[/u]. Хочется услышать successstory с сохранением действующей конфигурации.
>>>[оверквотинг удален]
>>>> Все советы, что я пока нашёл в тырнете сводятся только к сбросу
>>>> маршрутизаторов, но хочется сохранить существующую конфигурацию, о которой я пока имею
>>>> слабое представление.
>>>> Можно ли восстановить доступ к микротикам, не сбрасывая устройства в 0?
>>> Забыл добавить, если кто вдруг предположит - физический доступ к коробочкам есть,
>>> с морально-этической стороной вопроса тоже всё в порядке.
>> Посмотрите официальное руководство, возможно оно даст ответ на ваш вопрос: https://wiki.mikrotik.com/wiki/Manual:Reset
> Дык там только [u]Reset[/u]. Хочется услышать successstory с сохранением действующей
> конфигурации.Им, ваше желание мне понятно, а вот результат, в прочем посмотрим вместе, но я не сказал бы, что тут часто бывают бурные дискуссии о чём-то.
> Пришёл я тут работать в одну "осиротевшую" контору - админ уволился с
> полгода назад.контора 6 месяцев не платила зарплату админу.
пусть это 20 000 рубто есть 120 000 тыс кто-то положил себе в карман - вот он путь теперь за это и отвечает.
и конечно за эти деньги ты будешь виноват.
решается это просто - или выплатой 6-х зарплат старому админу- он все вспомнит: так всегда в нормальных странах и делается.
или тебе пусть платят 6 зарплат за наладку всего с нуля.
>[оверквотинг удален]
> пока работает, но потихоньку вылазят (пока) мелкие проблемы, которые неплохо было
> бы промониторить с маршрутизатора.
> Все советы, что я пока нашёл в тырнете сводятся только к сбросу
> маршрутизаторов, но хочется сохранить существующую конфигурацию, о которой я пока имею
> слабое представление.
> Можно ли восстановить доступ к микротикам, не сбрасывая устройства в 0? Поверх
> настроенных сейчас каналов ходит какой-то VoIP, обмен файлами между поделиями от
> Mелко$офта. Если сбросить - не факт, что я за день восстановлю
> весь функционал, а в таком случае, как обычно, я останусь крайним
> виноватым.И всё же, вы не думали над тем, чтобы попробовать восстановить конфигурацию ваших устройств путём анализа их трафика?
В конечном счёте, что там такого особенного может быть настроено, чтобы вы не смогли бы восстановить, OSPF single area, EoIP туннели, OpenVPN?
Одним словом, я бы на вашем месте, пока вы с нетерпением ждёте ответа тут, взял бы и сделал дамп трафика. Посмотрел бы, что там имеется, определился бы с используемыми протоколами, изучил их процесс конфигурирования в Mikrotik OS, собрал бы виртуальный стенд хоть в том же VirtualBox (я использую EVE-NG), Mikrotik CHR бесплатен для тестов, настроил и просто перенёс конфигурационные файлы на устройства.
> И всё же, вы не думали над тем, чтобы попробовать восстановить конфигурацию
> ваших устройств путём анализа их трафика?Пока этим и занимаюсь.
> В конечном счёте, что там такого особенного может быть настроено, чтобы вы
> не смогли бы восстановить, OSPF single area, EoIP туннели, OpenVPN?Нашёл пока EoIP, wifi, бридж. Надеюсь, что там нет какой-то дополнительной маршрутизации...
>> И всё же, вы не думали над тем, чтобы попробовать восстановить конфигурацию
>> ваших устройств путём анализа их трафика?
> Пока этим и занимаюсь.
>> В конечном счёте, что там такого особенного может быть настроено, чтобы вы
>> не смогли бы восстановить, OSPF single area, EoIP туннели, OpenVPN?
> Нашёл пока EoIP, wifi, бридж. Надеюсь, что там нет какой-то дополнительной маршрутизации...Ну вот, EoIP туннели, стало быть Ethernet over GRE на деле, настраивается так же просто, как и мосты в Mikrotik. Говорить о OSPF или какой-то дополнительной маршрутизации похоже не приходится, раз уж там L2 сегмент растянут на все три сайта. Адреса у всех сайтов в одной под сети наверное?
Одним словом, будут вопросы или проблемы, пишите их сюда сразу же, соберём стенд с вами, вы у себя, я у себя и настроим, что угодно вам. :)
>[оверквотинг удален]
>>> ваших устройств путём анализа их трафика?
>> Пока этим и занимаюсь.
>>> В конечном счёте, что там такого особенного может быть настроено, чтобы вы
>>> не смогли бы восстановить, OSPF single area, EoIP туннели, OpenVPN?
>> Нашёл пока EoIP, wifi, бридж. Надеюсь, что там нет какой-то дополнительной маршрутизации...
> Ну вот, EoIP туннели, стало быть Ethernet over GRE на деле, настраивается
> так же просто, как и мосты в Mikrotik. Говорить о OSPF
> или какой-то дополнительной маршрутизации похоже не приходится, раз уж там L2
> сегмент растянут на все три сайта. Адреса у всех сайтов в
> одной под сети наверное?Разные. Но IP-телефония бегает, совсем не пересекаясь с существующими сетями. Ещё бы и пароль на wifi вычислить где-то...
> Одним словом, будут вопросы или проблемы, пишите их сюда сразу же, соберём
> стенд с вами, вы у себя, я у себя и настроим,
> что угодно вам. :)Хорошо, спасибо, я ещё немного статистику пособираю... В общем, где-то через месяц я вернусь к этому вопросу.
"Работает - не трогай, сынок" (С) золотое правило админа.
>[оверквотинг удален]
>> сегмент растянут на все три сайта. Адреса у всех сайтов в
>> одной под сети наверное?
> Разные. Но IP-телефония бегает, совсем не пересекаясь с существующими сетями. Ещё бы
> и пароль на wifi вычислить где-то...
>> Одним словом, будут вопросы или проблемы, пишите их сюда сразу же, соберём
>> стенд с вами, вы у себя, я у себя и настроим,
>> что угодно вам. :)
> Хорошо, спасибо, я ещё немного статистику пособираю... В общем, где-то через месяц
> я вернусь к этому вопросу.
> "Работает - не трогай, сынок" (С) золотое правило админа.Если IP префиксы разные, то выбор EoIP, для реализации PWE3 выглядит на мой взгляд странной идеей. Хотя может быть там IP телефония в отдельном Vlan, от того и PWE3.
>> И всё же, вы не думали над тем, чтобы попробовать восстановить конфигурацию
>> ваших устройств путём анализа их трафика?
> Пока этим и занимаюсь.
>> В конечном счёте, что там такого особенного может быть настроено, чтобы вы
>> не смогли бы восстановить, OSPF single area, EoIP туннели, OpenVPN?
> Нашёл пока EoIP, wifi, бридж. Надеюсь, что там нет какой-то дополнительной маршрутизации...Попробуйте стащить по SNMP те параметры, которые будут доступны.
По крайней мере IP, имена интерфейсов, их типы и MAC адреса должны быть доступны стандартными MIB. Если нароете полные RouterOS MIB (что вряд-ли), то сможете восстановить почти все.
>>> И всё же, вы не думали над тем, чтобы попробовать восстановить конфигурацию
>>> ваших устройств путём анализа их трафика?
>> Пока этим и занимаюсь.
>>> В конечном счёте, что там такого особенного может быть настроено, чтобы вы
>>> не смогли бы восстановить, OSPF single area, EoIP туннели, OpenVPN?
>> Нашёл пока EoIP, wifi, бридж. Надеюсь, что там нет какой-то дополнительной маршрутизации...
> Попробуйте стащить по SNMP те параметры, которые будут доступны.
> По крайней мере IP, имена интерфейсов, их типы и MAC адреса должны
> быть доступны стандартными MIB. Если нароете полные RouterOS MIB (что вряд-ли),
> то сможете восстановить почти все.SNMP по умолчанию выключен насколько я помню и если его не включили специально, то ответить SNMP manager будет некому.
>[оверквотинг удален]
>>> Пока этим и занимаюсь.
>>>> В конечном счёте, что там такого особенного может быть настроено, чтобы вы
>>>> не смогли бы восстановить, OSPF single area, EoIP туннели, OpenVPN?
>>> Нашёл пока EoIP, wifi, бридж. Надеюсь, что там нет какой-то дополнительной маршрутизации...
>> Попробуйте стащить по SNMP те параметры, которые будут доступны.
>> По крайней мере IP, имена интерфейсов, их типы и MAC адреса должны
>> быть доступны стандартными MIB. Если нароете полные RouterOS MIB (что вряд-ли),
>> то сможете восстановить почти все.
> SNMP по умолчанию выключен насколько я помню и если его не включили
> специально, то ответить SNMP manager будет некому.А если community не public? Он же тоже не ответит, емнип?
>[оверквотинг удален]
>>>>> В конечном счёте, что там такого особенного может быть настроено, чтобы вы
>>>>> не смогли бы восстановить, OSPF single area, EoIP туннели, OpenVPN?
>>>> Нашёл пока EoIP, wifi, бридж. Надеюсь, что там нет какой-то дополнительной маршрутизации...
>>> Попробуйте стащить по SNMP те параметры, которые будут доступны.
>>> По крайней мере IP, имена интерфейсов, их типы и MAC адреса должны
>>> быть доступны стандартными MIB. Если нароете полные RouterOS MIB (что вряд-ли),
>>> то сможете восстановить почти все.
>> SNMP по умолчанию выключен насколько я помню и если его не включили
>> специально, то ответить SNMP manager будет некому.
> А если community не public? Он же тоже не ответит, емнип?Если там SNMPv1/v2 то community нужно будет знать да, иначе он не предоставит доступ к MIB, а если там SNMPv3, то вообще пиши пропало.
>[оверквотинг удален]
>>>> Попробуйте стащить по SNMP те параметры, которые будут доступны.
>>>> По крайней мере IP, имена интерфейсов, их типы и MAC адреса должны
>>>> быть доступны стандартными MIB. Если нароете полные RouterOS MIB (что вряд-ли),
>>>> то сможете восстановить почти все.
>>> SNMP по умолчанию выключен насколько я помню и если его не включили
>>> специально, то ответить SNMP manager будет некому.
>> А если community не public? Он же тоже не ответит, емнип?
> Если там SNMPv1/v2 то community нужно будет знать да, иначе он не
> предоставит доступ к MIB, а если там SNMPv3, то вообще пиши
> пропало.А если никаких мониторингов (Zabbix..Cacti.. и т.д.) не стояло, то вывод о предыдущем "специалисте" однозначный.
Да и бэкап конфигов тоже полезно делать...
>[оверквотинг удален]
>>>>> то сможете восстановить почти все.
>>>> SNMP по умолчанию выключен насколько я помню и если его не включили
>>>> специально, то ответить SNMP manager будет некому.
>>> А если community не public? Он же тоже не ответит, емнип?
>> Если там SNMPv1/v2 то community нужно будет знать да, иначе он не
>> предоставит доступ к MIB, а если там SNMPv3, то вообще пиши
>> пропало.
> А если никаких мониторингов (Zabbix..Cacti.. и т.д.) не стояло, то вывод о
> предыдущем "специалисте" однозначный.
> Да и бэкап конфигов тоже полезно делать...У вас странный способ делать выводы. Вы наверное телепат и провидец 80 уровня...раз НИЧЕГО не зная о ситуации - делаете вывод космического масштаба..
У вас всего три устройства. Соберите информацию что нужно людям да и настройте их заново. Если девайсы совсем дешевые- можно купить такие же и построить на них, а старые будут в резерве. Конфиг без пароля вы не сохраните. Ну или вариант ломать его подбором, может предыдущий одмин не парился с паролем.
> У вас всего три устройства. Соберите информацию что нужно людям да и
> настройте их заново. Если девайсы совсем дешевые- можно купить такие же
> и построить на них, а старые будут в резерве. Конфиг без
> пароля вы не сохраните. Ну или вариант ломать его подбором, может
> предыдущий одмин не парился с паролем.Поддерживаю. Это правильный подход.
> У вас всего три устройства. Соберите информацию что нужно людям да и
> настройте их заново. Если девайсы совсем дешевые- можно купить такие же
> и построить на них, а старые будут в резерве. Конфиг без
> пароля вы не сохраните. Ну или вариант ломать его подбором, может
> предыдущий одмин не парился с паролем.А чем можно попытаться подобрать?
>> У вас всего три устройства. Соберите информацию что нужно людям да и
>> настройте их заново. Если девайсы совсем дешевые- можно купить такие же
>> и построить на них, а старые будут в резерве. Конфиг без
>> пароля вы не сохраните. Ну или вариант ломать его подбором, может
>> предыдущий одмин не парился с паролем.
> А чем можно попытаться подобрать?Есть еще одна причина, по которой вам следует озаботится не подбором пароля- я переустановкой всего.
Если админа действительно обидели и поэтому полгода контора сидит без админа (а это намек на жадное и глупое руководство) - у вас есть шансы, после того как вы получите брутфорсом пароль и заживете припеваючи - обнаружить что оборудование на самом деле делает не совсем то что должно...
>[оверквотинг удален]
>>> пароля вы не сохраните. Ну или вариант ломать его подбором, может
>>> предыдущий одмин не парился с паролем.
>> А чем можно попытаться подобрать?
> Есть еще одна причина, по которой вам следует озаботится не подбором пароля-
> я переустановкой всего.
> Если админа действительно обидели и поэтому полгода контора сидит без админа (а
> это намек на жадное и глупое руководство) - у вас есть
> шансы, после того как вы получите брутфорсом пароль и заживете припеваючи
> - обнаружить что оборудование на самом деле делает не совсем то
> что должно...Да тут как бы вопрос в другом. Одмин должен знать что у него происходит на оборудовании. А лучший способ это понять- сделать это самому!