Czasami zachodzi potrzeba szybkiej zmiany jakiejś zmiennej w urządzeniach MT. Ja np. potrzebowałem zmienić domyślne porty ssh i telnet i wyłączyć allow remote request na ok. 3000 urządzeń. Jak zwykle z pomocą przyszedł BASH 🙂

 

#!/bin/bash

PLIK=”adresy_ip_KLIENCI”

for i in $(cat $PLIK); do
eval $( echo $i | awk ‚{ print „ADRES=” $1 }’ )
#MT DISABLE ALLOW REMOTE REQUEST
sshpass -p jakies_haslo ssh user@$ADRES -p XXXX’ip dns set allow-remote-request=no’

#MT PORT SSH
#sshpass -p jakies_haslo ssh user@$ADRES -p XXXX ‚ip service set ssh port=XXXX’

done;

 

Aby skrypt zadziała potrzebny będzie nam pakiet sshpass który umożliwia szybkie logowanie po ssh bez podawania hasła.

Nie polecam stosowania sshpass na „stałe” … pakiet przydaje się żeby szybko dokonać jakieś zmiany na wielu urządzenia. Można go wykorzystać także do szybkiego wgrania kluczy publicznych na urządzenia przy użyciu scp …

Od pewnego czasu w sieci grasuje boot potrafiący zainfekować  routery pracujące pod kontrolą OpenWRT i pochodznych … efektem działania jest podszycie dnsów np. w popularnych urządzeń UBNT i przekierowywanie prawie wszystkich stron na linki reklamowe. Pojawia się także problem z szyfrowanymi  stronami np. google, allegro. Problem dotyczy urządzeń wystawiony na zewnątrz (z publicznym adresem IP) i defaultowym hasłem  … Rozwiązaniem jest ustawienie hasła 🙂 i powtórzenie procedury znanej z procedury usuwania skynet.

 

rm /etc/persistent/rc.poststart 
rm -rf /etc/persistent/.skynet 
cfgmtd -w -p /etc/ 
reboot

Aby bardziej zabezpieczyć się w przyszłości można pozmieniać domyślne ustawienia portów usług na inne niż domyślne - telnet, ssh, www
Dodatkowo konieczne może okazać się jeszcze wyczyszczenie pamięci podręcznej cache przeglądarki i restartowanie wszystkich komputerów w sieci lokalnej.

Dawno mnie nie było .. Przepraszam, ale jak zwykle czasu bardzo nie wiele.

Dziś chciałem pokazać wszystkim w jaki sposób zmusić urządzenia klienckie firmy Ubiquity do wspópracy z protokołem SNMP, pobrać dane, obrobić jest w Bash’u i ładnie wrzucić do bazy danych Mysql.

Po stronie Ubi pozostaje nam tylko i jedynie włączyć wysyłanie danych po SNMP – urządzenia nie obsługują SNMP Trap, i w sumie dobrze ponieważ mamy do dyspozycji tylko SNMP v1, którego zabezpieczania pozostawiają wiele do życzenia. Robimy to w zakładce „Service” we wszystkich wersja AIROS’a. Sugerują zmienić community na default owego public na jakiś inny, jeżeli nie chcemy informować konkurencji o stanie naszej sieci 🙂

Teraz czas na przejście do konsoli linux’a 🙂

W moim przypadku założyłem generowanie listy adresów IP – które mają zostać odpytane przez snmpwalk’a – na podstawie pliku /etc/ethers.

#!/bin/bash
cat /etc/ethers | cut -d ” ” -f1 >> adresy
USER=”uzytkownik_mysql”
PASS=”tajne_haslo_mysql”
DATABASE=”nazwa_bazy”
HOST=”adresy”
#Robimy mała pętle
for i in $(grep „” $HOST); do
eval $( echo $i | awk ‚{ print „LOGIN=” $1 }’ )
echo „update tabela set signal=’`snmpwalk -v1 -c public $LOGIN 1.3.6.1.4.1.14988.1.1.1.1.1.4 | cut -d”:” -f2`’ where ip=’$LOGIN’;” | mysql –user=$USER –password=$PASS  $DATABASE;
#echo „update tabela set mac_klienta=’`snmpwalk -v1 -c public $LOGIN 1.3.6.1.2.1.2.2.1.6.2 | cut -d'”‚ -f2`’ where ip=’$LOGIN’;” | mysql –user=$USER –password=$PASS  $DATABASE;
#echo „update tabela set mac_klienta=’`snmpwalk -v1 -c public $LOGIN 1.3.6.1.2.1.2.2.1.6.2 | cut -d -f2`’ where ip=’$LOGIN’;” | mysql –user=$USER –password=$PASS  $DATABASE;
echo „update tabela set kanal=’`snmpwalk -v1 -c public $LOGIN 1.3.6.1.4.1.14988.1.1.1.1.1.7 | cut -d”:” -f2`’ where ip=’$LOGIN’;” | mysql –user=$USER –password=$PASS  $DATABASE;
echo „update tabela set rx=’`snmpwalk -v1 -c public $LOGIN 1.3.6.1.4.1.14988.1.1.1.1.1.2 | cut -d”:” -f2`’ where ip=’$LOGIN’;” | mysql –user=$USER –password=$PASS  $DATABASE;
echo „update tabela set tx=’`snmpwalk -v1 -c public $LOGIN 1.3.6.1.4.1.14988.1.1.1.1.1.3 | cut -d”:” -f2`’ where ip=’$LOGIN’;” | mysql –user=$USER –password=$PASS  $DATABASE;
#echo „update tabela set tx=’`snmpwalk -v1 -c public $LOGIN 1.3.6.1.4.1.14988.1.1.1.1.2.3 | cut -d”:” -f2`’ where ip=’$LOGIN’;” | mysql –user=$USER –password=$PASS  $DATABASE;

#SPRAWDZANIE WERSJI AIR OS
WERSJA=`snmpwalk -v1 -c public $LOGIN 1.2.840.10036.3.1.2.1.4 | cut -d”.” -f13`;
KONTROLKA=”5″;
KONTROLKA2=”0″;

if [ „$WERSJA” = „$KONTROLKA” ];
then
echo „update tabela set ssid=’`snmpwalk -v1 -c public $LOGIN 1.3.6.1.4.1.14988.1.1.1.1.1.5.5 |cut -d „:” -f2|sed ‚s/.*/0x&/’|xxd -r`’ where ip=’$LOGIN’;” | mysql –user=$USER –password=$PASS  $DATABASE;
elif [ „$WERSJA” = „$KONTROLKA2” ];
then
echo „update tabela set ssid=’`snmpwalk -v1 -c public $LOGIN 1.3.6.1.4.1.14988.1.1.1.1.1.5.6 | cut -d”:” -f2|sed -e ‚s/”//g’`’ where ip=’$LOGIN’;” | mysql –user=$USER –password=$PASS  $DATABASE;
else
echo „update tabela set ssid=’`snmpwalk -v1 -c public $LOGIN 1.3.6.1.4.1.14988.1.1.1.1.1.5.7 | cut -d”:” -f2|sed -e ‚s/”//g’`’ where ip=’$LOGIN’;” | mysql –user=$USER –password=$PASS  $DATABASE;
fi
done;

rm adresy

Najbardziej upierdliwe w przypadku SNMP i UBNT jest to, że różne wersje AIROS mają te same dane pod różnymi OID’ami, czasami zdarza się także, podają jakieś dane w postaci kodu heksadecymalnego. W moim skrypcie użyłem prostej instrukcji warunkowej, która sprawdza wersje oprogramowania i i wybiera odpowiedni OID .

Co możemy wyciągnąć po SNMP z UBNT ? Prawie wszystko 🙂 Dla mnie najważniejsze były takie rzeczy jak SSID i Poziom sygnału,model , oraz mac adres sprzętu który jest zainstalowany u klienta. Dane te mogą ulec zmianie, a mając zapięty powyższy skrypt w corn’ie dane mogą być odczytywane cały czas. Eliminujemy tym samym czynnik błędu ludzkiego 🙂

Samą strukrurę bazy trzeba dostosować dość mocno pod samego siebie i do systemu z którego się korzysta, dlatego pominę tą kwestie w tym wpisie. Jeżeli ktoś potrzebuje pomocy z chęcią dopiszę coś co będzie współpracować np. z LMS’em. Ja korzystam z własnego systemu obsługi użytkowników.

Mając dane w bazie danych możemy z nimi zrobić co chcemy, ograniczeniem jest tylko fantazja i wiedza 🙂

Pytanie z którym boryka i/lub borykało się wielu z nas …

Wszystkich zainteresowanych zapraszam do kontaktu.

Przepraszam za małe zaangażowanie, ale totalny brak czasu nie pozwala mi na podniesienie poziomu kreatywności. Kolejny raz na osłodę, chciałem porównać NV2 mikrotika i Airmax UBNT.

Oba produkty mają swoje, plusy i minusy, zapominamy jednak często, że obie implementacje TDMA(Time Division Multi Access)   są w zasadzie tym samym 🙂  Sama technologia pozwala na podłączenie większej ilości klientów peer antena, ale totalnie nie sprawdza się na liknach p2p. Standard NV2 czy to AIRMAX pomaga w przypadku dużej ilości sprzętu klienckiego danego producenta. Ubolewam nad faktem dominacji UBNT w sprzecie klienckim na rynku … Mowa, o sprzętach typu AG5 NS5 NB5 … wszystkie te produkty zabiją 5 ghz, tomorow (jutro :P) zaprezentuje test NB5 zawieszonego jako „sektor” dalekiego zasięgu na 100 metrowym kominie(maskara co to robi i z jakim kątem sieje) . Zarówno MT jak i UBNT, mają na chwilę obecną dobre rozwiązania, które potrafią przepchnąć sporo mbps, aczkolwiek mikrotik poszedł już trochę do przodu wypuszczając na rynek SXT z portem 1 gbps … urządzenie powiesiełm na linku p2p i przewala spokojnie powyżej 100 mbps na odległosci 2 km. Odpowiedzią UBNT na Produkty mikrotika jest Rocekt Ti, ale nie jestem do końca przekonany o wyższości jednego nad drugim. Problem dużych ISP radiowych jest jeden … jak UBNT miało „fajny” sprzęt kliencki to mikrotik go nie miał, UBNT nie miało 2-3 lata temu nic nadawczego 🙂 trzeba było mieszać, aby zachować dużą jakoś za niską cenę. Niestety nie ma złotego środka 🙂  Wiem jednak, ze mam jedną Omni Senao + r52-nm z 50 klientami(UBNT) z pakietami od 1mbps do 6 mbps i wszyscy są zadowoleni 🙂 zamieszczę screeny.

Nie aktualizowałem blog przez pewien czas. Wynikało to przede wszystkim z zakupu mieszkania, przeprowadzki itd. Przepraszam … 🙂 Na osłodę kilka słów na temat anten firmy Jirous. Link 4.5 km chałda z boku, generalnie nigdy nic nie chciało tam działać. Panele Senao, Mars, prabole nic … nie ważne co się założyło zawsze sygnał był taki sam … w okolicach -65-69 db … transfer maks jaki udało się uzykać to około 20-30 mbps na rb711 + panel Senao 23 dbi, wcześniej wisiało tam stare Tsunami 🙂 O dziwo pomogło założenie anten Jirous 24 Duplex syngał zrobił skoczył do wartości -56. A realny transfer na urządzeniach Rocekt M5 skacze nawet do 80 mbps. Nie testowałem tego z mikrotikiem, ale pewnie byłoby podobnie. Czekam na RB711GA,  żeby dobrze przetestować link 😉 Podsumowując antenki drogie, ale warte każdej złotówki!

W niedługim czasie opublikuje kompletną FAQ  jak przejeść od bridg’a do Routing’u+PPPoE na końcówkach, wraz z opisem konfiguracji FreeRadius na dowolny serwerze Linux’owym. Mam nadzieje że Wam się to przyda

Z każdym dniem coraz mniej podoba mi się pomysł pozostania przy Mikrotik’u jako nadajnik klienckie. Produkty UBNT poszły bardzo do przodu z drugiej zaś strony może warto poczekać na jakiś ruch ze strony mikrotik’a. W piątek założyłem jedną antene Sektową + ROCEKT M5 i działa to nawet fajnie. Jeżeli mikrotik szybko nie poprawi N-ki w sposób który umożliwi produkcyjne podpinanie klientów w N przechodzę na UBNT.

Pewnie nie jeden z was spotkał się problemami w sieci, która jest jednym wielkim switch’em(bridgem). Najprostszym a zarazem najszybszym i najtańszym sposobem na to jest wprowadzenie tak zwanych filtrów na bridge i tutaj znowu z pomocą przychodzi nam RouterOS i firma Mikrotikls.

Próbowałem z kilkoma urządzeniami np. z rb493 ale i stabilność jest co najmniej nie wystarczająca. Płyty rb450G oraz seria 750 nadaje się do tego znakomicie.

Jak to zrobić ? 🙂

To proste … dodajemy wszystkie porty do bridge’a klikamy zakładkę „Settings” zaznaczamy „Use IP Firewall”. Następnie przechodzimy do zakładki „Filter” i klikamy „+” i tam kolejno w zakładce „General”  „!in interface:ether1” „!out interface:ether1” następnie przechodzimy do zakładki „action” i tam „drop” oraz „apply”

Powyższy config zakłada, że internet przychodzi od strony ether1, bardzo ważne jest zastosowanie znaku „!” który oznacza blokowanie ruchu pomiędzy wszystkimi portami za wyjątkiem portu pierwszego.

Sugeruje zastosowanie rb750/450G z powodu zastosowanego scalaka do obsługi ethernet’u. Niestety w RB493 układ ten to IC+ jeden z najtańszy i cechujących się wyjątkowo małą stabilnością układów scalonych. Przy małym ruchu jednak się sprawdza, do 10-20 mb powyżej tej wartości mogą zacząć dziać się dziwne nieporządne rzeczy   np. zanik transferu na eth 0d 2-9 pomaga tylko reboot 😉

RouterOS znakomicie nadaje się do stworzenia routera dla dość popularnego łącza dla ISP jakim jest Metro Ethernet w sieci TP.

Konfiguracja ogranicza się w zasadzie do ustawienia na pierwszym porcie adresu przyłączeniowego, oraz na drugim pierwszego adresu z puli otrzymanej od operatora.

Ja wykorzystałem do tego RB 750G (CPU 680 Mhz, Ram 64 Mb) od 4 miesiecy żadnego zwisu. Działa cały czas stabilnie …