The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

форумы  правила/FAQ  поиск  регистрация  вход/выход  слежка  RSS
"Восстановить доступ к микротику"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Каналообразующее оборудование, Модемы)
Изначальное сообщение [ Отслеживать ]
Курсы Сisco по безопасности (CCNA и CCNP Security, Сisco ISE 2.1, ASA, IronPort)
"Восстановить доступ к микротику"  +/
Сообщение от asphinx on 27-Сен-17, 10:01 
Добрый день!

Пришёл я тут работать в одну "осиротевшую" контору - админ уволился с полгода назад. У них три площадки, связанные между собой микротиками. Беда в том, что никто не знает пароли от маршрутизаторов. Предыдущий админ уходит в отказ "ничего не помню - давно это было". Всё пока работает, но потихоньку вылазят (пока) мелкие проблемы, которые неплохо было бы промониторить с маршрутизатора.
Все советы, что я пока нашёл в тырнете сводятся только к сбросу маршрутизаторов, но хочется сохранить существующую конфигурацию, о которой я пока имею слабое представление.
Можно ли восстановить доступ к микротикам, не сбрасывая устройства в 0? Поверх настроенных сейчас каналов ходит какой-то VoIP, обмен файлами между поделиями от Mелко$офта. Если сбросить - не факт, что я за день восстановлю весь функционал, а в таком случае, как обычно, я останусь крайним виноватым.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по ответам | RSS]

1. "Восстановить доступ к микротику"  +/
Сообщение от asphinx on 27-Сен-17, 10:26 
>[оверквотинг удален]
> пока работает, но потихоньку вылазят (пока) мелкие проблемы, которые неплохо было
> бы промониторить с маршрутизатора.
> Все советы, что я пока нашёл в тырнете сводятся только к сбросу
> маршрутизаторов, но хочется сохранить существующую конфигурацию, о которой я пока имею
> слабое представление.
> Можно ли восстановить доступ к микротикам, не сбрасывая устройства в 0? Поверх
> настроенных сейчас каналов ходит какой-то VoIP, обмен файлами между поделиями от
> Mелко$офта. Если сбросить - не факт, что я за день восстановлю
> весь функционал, а в таком случае, как обычно, я останусь крайним
> виноватым.

Забыл добавить, если кто вдруг предположит - физический доступ к коробочкам есть, с морально-этической стороной вопроса тоже всё в порядке.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Восстановить доступ к микротику"  +1 +/
Сообщение от вова п on 27-Сен-17, 11:15 
> Пришёл я тут работать в одну "осиротевшую" контору - админ уволился с
> полгода назад.

контора 6 месяцев не платила зарплату админу.
пусть это 20 000 руб

то есть 120 000 тыс кто-то положил себе в карман - вот он путь теперь за это и отвечает.

и конечно за эти деньги ты будешь виноват.

решается это просто - или выплатой 6-х зарплат старому админу- он все вспомнит: так всегда в нормальных странах и делается.
или тебе пусть платят 6 зарплат за наладку всего с  нуля.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Восстановить доступ к микротику"  +/
Сообщение от zanswer CCNA RS and S on 27-Сен-17, 11:21 
>[оверквотинг удален]
>> Все советы, что я пока нашёл в тырнете сводятся только к сбросу
>> маршрутизаторов, но хочется сохранить существующую конфигурацию, о которой я пока имею
>> слабое представление.
>> Можно ли восстановить доступ к микротикам, не сбрасывая устройства в 0? Поверх
>> настроенных сейчас каналов ходит какой-то VoIP, обмен файлами между поделиями от
>> Mелко$офта. Если сбросить - не факт, что я за день восстановлю
>> весь функционал, а в таком случае, как обычно, я останусь крайним
>> виноватым.
> Забыл добавить, если кто вдруг предположит - физический доступ к коробочкам есть,
> с морально-этической стороной вопроса тоже всё в порядке.

Посмотрите официальное руководство, возможно оно даст ответ на ваш вопрос: https://wiki.mikrotik.com/wiki/Manual:Reset

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Восстановить доступ к микротику"  +/
Сообщение от asphinx on 27-Сен-17, 11:57 
>>[оверквотинг удален]
>>> Все советы, что я пока нашёл в тырнете сводятся только к сбросу
>>> маршрутизаторов, но хочется сохранить существующую конфигурацию, о которой я пока имею
>>> слабое представление.
>>> Можно ли восстановить доступ к микротикам, не сбрасывая устройства в 0?
>> Забыл добавить, если кто вдруг предположит - физический доступ к коробочкам есть,
>> с морально-этической стороной вопроса тоже всё в порядке.
> Посмотрите официальное руководство, возможно оно даст ответ на ваш вопрос: https://wiki.mikrotik.com/wiki/Manual:Reset

Дык там только Reset. Хочется услышать successstory с сохранением действующей конфигурации.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Восстановить доступ к микротику"  +/
Сообщение от zanswer CCNA RS and S on 27-Сен-17, 12:03 
>>>[оверквотинг удален]
>>>> Все советы, что я пока нашёл в тырнете сводятся только к сбросу
>>>> маршрутизаторов, но хочется сохранить существующую конфигурацию, о которой я пока имею
>>>> слабое представление.
>>>> Можно ли восстановить доступ к микротикам, не сбрасывая устройства в 0?
>>> Забыл добавить, если кто вдруг предположит - физический доступ к коробочкам есть,
>>> с морально-этической стороной вопроса тоже всё в порядке.
>> Посмотрите официальное руководство, возможно оно даст ответ на ваш вопрос: https://wiki.mikrotik.com/wiki/Manual:Reset
> Дык там только Reset. Хочется услышать successstory с сохранением действующей
> конфигурации.

Им, ваше желание мне понятно, а вот результат, в прочем посмотрим вместе, но я не сказал бы, что тут часто бывают бурные дискуссии о чём-то.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Восстановить доступ к микротику"  +/
Сообщение от zanswer CCNA RS and S on 27-Сен-17, 12:10 
>[оверквотинг удален]
> пока работает, но потихоньку вылазят (пока) мелкие проблемы, которые неплохо было
> бы промониторить с маршрутизатора.
> Все советы, что я пока нашёл в тырнете сводятся только к сбросу
> маршрутизаторов, но хочется сохранить существующую конфигурацию, о которой я пока имею
> слабое представление.
> Можно ли восстановить доступ к микротикам, не сбрасывая устройства в 0? Поверх
> настроенных сейчас каналов ходит какой-то VoIP, обмен файлами между поделиями от
> Mелко$офта. Если сбросить - не факт, что я за день восстановлю
> весь функционал, а в таком случае, как обычно, я останусь крайним
> виноватым.

И всё же, вы не думали над тем, чтобы попробовать восстановить конфигурацию ваших устройств путём анализа их трафика?

В конечном счёте, что там такого особенного может быть настроено, чтобы вы не смогли бы восстановить, OSPF single area, EoIP туннели, OpenVPN?

Одним словом, я бы на вашем месте, пока вы с нетерпением ждёте ответа тут, взял бы и сделал дамп трафика. Посмотрел бы, что там имеется, определился бы с используемыми протоколами, изучил их процесс конфигурирования в Mikrotik OS, собрал бы виртуальный стенд хоть в том же VirtualBox (я использую EVE-NG), Mikrotik CHR бесплатен для тестов, настроил и просто перенёс конфигурационные файлы на устройства.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Восстановить доступ к микротику"  +/
Сообщение от asphinx on 27-Сен-17, 12:15 
> И всё же, вы не думали над тем, чтобы попробовать восстановить конфигурацию
> ваших устройств путём анализа их трафика?

Пока этим и занимаюсь.

> В конечном счёте, что там такого особенного может быть настроено, чтобы вы
> не смогли бы восстановить, OSPF single area, EoIP туннели, OpenVPN?

Нашёл пока EoIP, wifi, бридж. Надеюсь, что там нет какой-то дополнительной маршрутизации...

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Восстановить доступ к микротику"  +/
Сообщение от zanswer CCNA RS and S on 27-Сен-17, 12:21 
>> И всё же, вы не думали над тем, чтобы попробовать восстановить конфигурацию
>> ваших устройств путём анализа их трафика?
> Пока этим и занимаюсь.
>> В конечном счёте, что там такого особенного может быть настроено, чтобы вы
>> не смогли бы восстановить, OSPF single area, EoIP туннели, OpenVPN?
> Нашёл пока EoIP, wifi, бридж. Надеюсь, что там нет какой-то дополнительной маршрутизации...

Ну вот, EoIP туннели, стало быть Ethernet over GRE на деле, настраивается так же просто, как и мосты в Mikrotik. Говорить о OSPF или какой-то дополнительной маршрутизации похоже не приходится, раз уж там L2 сегмент растянут на все три сайта. Адреса у всех сайтов в одной под сети наверное?

Одним словом, будут вопросы или проблемы, пишите их сюда сразу же, соберём стенд с вами, вы у себя, я у себя и настроим, что угодно вам. :)

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Восстановить доступ к микротику"  +/
Сообщение от Andrey (??) on 27-Сен-17, 13:45 
>> И всё же, вы не думали над тем, чтобы попробовать восстановить конфигурацию
>> ваших устройств путём анализа их трафика?
> Пока этим и занимаюсь.
>> В конечном счёте, что там такого особенного может быть настроено, чтобы вы
>> не смогли бы восстановить, OSPF single area, EoIP туннели, OpenVPN?
> Нашёл пока EoIP, wifi, бридж. Надеюсь, что там нет какой-то дополнительной маршрутизации...

Попробуйте стащить по SNMP те параметры, которые будут доступны.
По крайней мере IP, имена интерфейсов, их типы и MAC адреса должны быть доступны стандартными MIB. Если нароете полные RouterOS MIB (что вряд-ли), то сможете восстановить почти все.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "Восстановить доступ к микротику"  +/
Сообщение от zanswer CCNA RS and S on 27-Сен-17, 15:10 
>>> И всё же, вы не думали над тем, чтобы попробовать восстановить конфигурацию
>>> ваших устройств путём анализа их трафика?
>> Пока этим и занимаюсь.
>>> В конечном счёте, что там такого особенного может быть настроено, чтобы вы
>>> не смогли бы восстановить, OSPF single area, EoIP туннели, OpenVPN?
>> Нашёл пока EoIP, wifi, бридж. Надеюсь, что там нет какой-то дополнительной маршрутизации...
> Попробуйте стащить по SNMP те параметры, которые будут доступны.
> По крайней мере IP, имена интерфейсов, их типы и MAC адреса должны
> быть доступны стандартными MIB. Если нароете полные RouterOS MIB (что вряд-ли),
> то сможете восстановить почти все.

SNMP по умолчанию выключен насколько я помню и если его не включили специально, то ответить SNMP manager будет некому.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Восстановить доступ к микротику"  +/
Сообщение от Del on 29-Сен-17, 10:37 
У вас всего три устройства. Соберите информацию что нужно людям да и настройте их заново. Если девайсы совсем дешевые- можно купить такие же и построить на них, а старые будут в резерве. Конфиг без пароля вы не сохраните. Ну или вариант ломать его подбором, может предыдущий одмин не парился с паролем.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Восстановить доступ к микротику"  +/
Сообщение от ЫЫ on 29-Сен-17, 15:33 
> У вас всего три устройства. Соберите информацию что нужно людям да и
> настройте их заново. Если девайсы совсем дешевые- можно купить такие же
> и построить на них, а старые будут в резерве. Конфиг без
> пароля вы не сохраните. Ну или вариант ломать его подбором, может
> предыдущий одмин не парился с паролем.

Поддерживаю. Это правильный подход.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "Восстановить доступ к микротику"  +/
Сообщение от asphinx on 29-Сен-17, 16:22 
>[оверквотинг удален]
>>> Пока этим и занимаюсь.
>>>> В конечном счёте, что там такого особенного может быть настроено, чтобы вы
>>>> не смогли бы восстановить, OSPF single area, EoIP туннели, OpenVPN?
>>> Нашёл пока EoIP, wifi, бридж. Надеюсь, что там нет какой-то дополнительной маршрутизации...
>> Попробуйте стащить по SNMP те параметры, которые будут доступны.
>> По крайней мере IP, имена интерфейсов, их типы и MAC адреса должны
>> быть доступны стандартными MIB. Если нароете полные RouterOS MIB (что вряд-ли),
>> то сможете восстановить почти все.
> SNMP по умолчанию выключен насколько я помню и если его не включили
> специально, то ответить SNMP manager будет некому.

А если community не public? Он же тоже не ответит, емнип?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

14. "Восстановить доступ к микротику"  +/
Сообщение от asphinx on 29-Сен-17, 16:24 
> У вас всего три устройства. Соберите информацию что нужно людям да и
> настройте их заново. Если девайсы совсем дешевые- можно купить такие же
> и построить на них, а старые будут в резерве. Конфиг без
> пароля вы не сохраните. Ну или вариант ломать его подбором, может
> предыдущий одмин не парился с паролем.

А чем можно попытаться подобрать?

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

15. "Восстановить доступ к микротику"  +/
Сообщение от asphinx on 29-Сен-17, 16:31 
>[оверквотинг удален]
>>> ваших устройств путём анализа их трафика?
>> Пока этим и занимаюсь.
>>> В конечном счёте, что там такого особенного может быть настроено, чтобы вы
>>> не смогли бы восстановить, OSPF single area, EoIP туннели, OpenVPN?
>> Нашёл пока EoIP, wifi, бридж. Надеюсь, что там нет какой-то дополнительной маршрутизации...
> Ну вот, EoIP туннели, стало быть Ethernet over GRE на деле, настраивается
> так же просто, как и мосты в Mikrotik. Говорить о OSPF
> или какой-то дополнительной маршрутизации похоже не приходится, раз уж там L2
> сегмент растянут на все три сайта. Адреса у всех сайтов в
> одной под сети наверное?

Разные. Но IP-телефония бегает, совсем не пересекаясь с существующими сетями. Ещё бы и пароль на wifi вычислить где-то...

> Одним словом, будут вопросы или проблемы, пишите их сюда сразу же, соберём
> стенд с вами, вы у себя, я у себя и настроим,
> что угодно вам. :)

Хорошо, спасибо, я ещё немного статистику пособираю... В общем, где-то через месяц я вернусь к этому вопросу.
"Работает - не трогай, сынок" (С) золотое правило админа.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

16. "Восстановить доступ к микротику"  +/
Сообщение от zanswer CCNA RS and S on 29-Сен-17, 19:23 
>[оверквотинг удален]
>>>>> В конечном счёте, что там такого особенного может быть настроено, чтобы вы
>>>>> не смогли бы восстановить, OSPF single area, EoIP туннели, OpenVPN?
>>>> Нашёл пока EoIP, wifi, бридж. Надеюсь, что там нет какой-то дополнительной маршрутизации...
>>> Попробуйте стащить по SNMP те параметры, которые будут доступны.
>>> По крайней мере IP, имена интерфейсов, их типы и MAC адреса должны
>>> быть доступны стандартными MIB. Если нароете полные RouterOS MIB (что вряд-ли),
>>> то сможете восстановить почти все.
>> SNMP по умолчанию выключен насколько я помню и если его не включили
>> специально, то ответить SNMP manager будет некому.
> А если community не public? Он же тоже не ответит, емнип?

Если там SNMPv1/v2 то community нужно будет знать да, иначе он не предоставит доступ к MIB, а если там SNMPv3, то вообще пиши пропало.

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

17. "Восстановить доступ к микротику"  +/
Сообщение от zanswer CCNA RS and S on 29-Сен-17, 19:27 
>[оверквотинг удален]
>> сегмент растянут на все три сайта. Адреса у всех сайтов в
>> одной под сети наверное?
> Разные. Но IP-телефония бегает, совсем не пересекаясь с существующими сетями. Ещё бы
> и пароль на wifi вычислить где-то...
>> Одним словом, будут вопросы или проблемы, пишите их сюда сразу же, соберём
>> стенд с вами, вы у себя, я у себя и настроим,
>> что угодно вам. :)
> Хорошо, спасибо, я ещё немного статистику пособираю... В общем, где-то через месяц
> я вернусь к этому вопросу.
> "Работает - не трогай, сынок" (С) золотое правило админа.

Если IP префиксы разные, то выбор EoIP, для реализации PWE3 выглядит на мой взгляд странной идеей. Хотя может быть там IP телефония в отдельном Vlan, от того и PWE3.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

18. "Восстановить доступ к микротику"  +/
Сообщение от Andrey (??) on 29-Сен-17, 21:43 
>[оверквотинг удален]
>>>> Попробуйте стащить по SNMP те параметры, которые будут доступны.
>>>> По крайней мере IP, имена интерфейсов, их типы и MAC адреса должны
>>>> быть доступны стандартными MIB. Если нароете полные RouterOS MIB (что вряд-ли),
>>>> то сможете восстановить почти все.
>>> SNMP по умолчанию выключен насколько я помню и если его не включили
>>> специально, то ответить SNMP manager будет некому.
>> А если community не public? Он же тоже не ответит, емнип?
> Если там SNMPv1/v2 то community нужно будет знать да, иначе он не
> предоставит доступ к MIB, а если там SNMPv3, то вообще пиши
> пропало.

А если никаких мониторингов (Zabbix..Cacti.. и т.д.) не стояло, то вывод о предыдущем "специалисте" однозначный.
Да и бэкап конфигов тоже полезно делать...

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

19. "Восстановить доступ к микротику"  +/
Сообщение от ыы on 29-Сен-17, 21:53 
>[оверквотинг удален]
>>>>> то сможете восстановить почти все.
>>>> SNMP по умолчанию выключен насколько я помню и если его не включили
>>>> специально, то ответить SNMP manager будет некому.
>>> А если community не public? Он же тоже не ответит, емнип?
>> Если там SNMPv1/v2 то community нужно будет знать да, иначе он не
>> предоставит доступ к MIB, а если там SNMPv3, то вообще пиши
>> пропало.
> А если никаких мониторингов (Zabbix..Cacti.. и т.д.) не стояло, то вывод о
> предыдущем "специалисте" однозначный.
> Да и бэкап конфигов тоже полезно делать...

У вас странный способ делать выводы. Вы наверное телепат и провидец 80 уровня...раз НИЧЕГО не зная о ситуации - делаете вывод космического масштаба..

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "Восстановить доступ к микротику"  +/
Сообщение от ыы on 29-Сен-17, 21:57 
>> У вас всего три устройства. Соберите информацию что нужно людям да и
>> настройте их заново. Если девайсы совсем дешевые- можно купить такие же
>> и построить на них, а старые будут в резерве. Конфиг без
>> пароля вы не сохраните. Ну или вариант ломать его подбором, может
>> предыдущий одмин не парился с паролем.
> А чем можно попытаться подобрать?

Есть еще одна причина, по которой вам следует озаботится не подбором пароля- я переустановкой всего.

Если админа действительно обидели и поэтому полгода контора сидит без админа (а это намек на жадное и глупое руководство) - у вас есть шансы, после того как вы получите брутфорсом пароль и заживете припеваючи - обнаружить что оборудование на самом деле делает не совсем то что должно...

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

22. "Восстановить доступ к микротику"  +/
Сообщение от Del on 02-Окт-17, 08:39 
>[оверквотинг удален]
>>> пароля вы не сохраните. Ну или вариант ломать его подбором, может
>>> предыдущий одмин не парился с паролем.
>> А чем можно попытаться подобрать?
> Есть еще одна причина, по которой вам следует озаботится не подбором пароля-
> я переустановкой всего.
> Если админа действительно обидели и поэтому полгода контора сидит без админа (а
> это намек на жадное и глупое руководство) - у вас есть
> шансы, после того как вы получите брутфорсом пароль и заживете припеваючи
> - обнаружить что оборудование на самом деле делает не совсем то
> что должно...

Да тут как бы вопрос в другом. Одмин должен знать что у него происходит на оборудовании. А лучший способ это понять- сделать это самому!

Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor