Как лучше удаленно управлять оборудованием Mikrotik?

Question

[DenZel]

Добрый день!!!!
Подскажите в правильном решении задачи:
1. Имеется сервер Windows server 2008 на VDS с белым адресом
2. Есть порядка 200 роутеров Mikrotik удаленных с серыми адресами
Задача:
Построить сеть мониторинга и доступа за всем этим парком, а именно чтоб через сервер можно было бы зайти на все микротике и все точки доступа за ними (внутренняя сеть управления точками).
Я так понимаю : разворачиваем pptp сервер и к нему цепляем клиентов,+ система мониторинга Dude.
Подскажите,это хорошая реализация данной задачи или есть лучше и надежней решение?
Спасибо !буду очень рад Вашим ответам, друзья!

Answer 1

[Клёвый Админ]

Ваше решение годное, из готового посмотрите вот это https://habrahabr.ru/company/selectel/blog/196620/
Так же советую использовать протокол RoMon, и центральный роутер (тот что сейчас на Windows) тоже на Mikrotik, а уже за ним любой backend, это даст больше свободы и возможностей по настройкам.

Comments

[DenZel]

Спасибо,но вы немного другое предлагаете.мне необходим мониторинг и доступ к оборудованию mikrotik, а ansible это совсем другое....

[Клёвый Админ]

Денис: я потому и пишу, ваше решение по мониторингу годное, лучше скорее всего, готового нет, та штука которую я показал, сейчас умеет управлять железками, чего в Dude, скажем прямо нехватает\мало.

[DenZel]

Я был на MUM Mikrotik где и рассказывали про этот продукт,как он полезен и т.п. : скажу конечно вещь очень нужная для большого парка но и в тоже время очень опасная, так как неловкими движениями можно загубить все и особенно будет обидно когда часть парка где то на Камчатке .....(

[DenZel]

Денис: Евгений Быченко: не подскажешь в чем может быть причина: к windows server 2008 цепляется только один pptp клиент,а другие ни в какую не хотят...(((

[Иван Моисеев]

Попробуйте мониторить через Zabbix, а управлять централизованно через Ansible.

[DenZel]

А разве dude+ mikrotik плохое сочетание?

[DenZel]

Иван Моисеев: не подскажите,возможно ли то,что так как лицензия на винде не активирована поэтому и сервер впн устанавливает только ОДНО соединение ?

[Иван Моисеев]

Денис: По винде я Вам не подскажу. У меня в качестве VPN-сервера на Hyper-V поднят CHR с лицензией P1 + freeradius.

А вы клиентов под разными учетками авторизовываете или под одной общей?

[DenZel]

Иван Моисеев: создал одну учётку для всех клиентов, они по ней должны подцепиться к серверу ...но почему кроме одного сокдинения не держит ....( пробывал и под разными учениками - анологично)...

[none none]

Денис: Нельзя использовать одну учетную запись на всех при подключении к VPN шлюзу. На ее основании выдается адрес, политики безопасности применяются и т.д. И я про PPTP Вам уже раньше писал - не всегда работает из-за особенностей протокола GRE.

[DenZel]

Петр Иванов: спасибо большое!с проблемой разобрался,необходимо было отключить политику в профиле пользователя.pptp работает идеально на windows server 2008)))

Answer 2

[CityCat4]

Несмотря на то, что PPTP взломан аж в 2012 году ?

Comments

[Клёвый Админ]

если pptp как транспорт, то ок, внутри можно уже ssl. pptp хорошо через nat проходит.

[DenZel]

Да мне то нужно удаленный доступ к оборудованию клиентов, думаю что pptp с этим справится без проблем.

[CityCat4]

Денис: Да дело не в том, что справится или нет, а в том, что к оборудованию клиентов могут поиметь доступ и люди, которых не стоило бы туда пускать.

[DenZel]

спасибо,будем учитывать!