Skip to content

Мир без рэдмонских окон Posts

Mikrotik и ansible: устанавливаем сертификаты

У Mikrotik, как и у каждого уважающего себя вендора, есть API для работы со своими продуктами. Cтоит признать, этот API даже весьма рабочий.
Я, в своё время, успел поработать с perl и python реализациями этого API, но процессе написания статей из цикла «Hotspot для самых маленьких» появилось стойкое убеждение, что, в большинстве случаев, это всё то же забивание консольной команды и получение результата в какой-нибудь удобоваримой форме (хотя и есть, вроде, ООП-реализации, но и они далеки от идеала). Плюс само API несёт некоторые ограничения (например, нельзя с его помощью вызывать команды встроенного интерпретатора RouterOS).

Однако же, далеко не всегда нужно использовать API. Например, если нужно просто выполнить определённую последовательность действий (пусть и параметризованную), гораздо быстрее, удобнее и надёжнее использовать ansbile (как я уже показал в прошлой статье).

А тут как раз подвернулась задачка — нужно раз в три месяца обновлять сертификаты на нашем микротике, которые мы получаем от let’s encrypt.
Хотите узнать, как? Прошу под кат 😉

Читать далее Mikrotik и ansible: устанавливаем сертификаты

Leave a Comment

Mikrotik для небольшого офиса

Вводная: небольшой офис. В наличии имеется один канал от провайдера (впрочем, их может быть два), проводная сеть, служебный и гостевой WiFi.
При этом к проводной сети подключены сервера (ну и админ, конечно ;)), а сотрудники сидят через служебный WiFi. Для гостей (и личных устройств сотрудников) есть гостевой WiFi (может быть, даже с hotspot) c обычной PSK-аутентификацией или без неё.
Чтобы было ещё веселее — добавим DMZ с почтовым сервером (как его настроить, можно почтитать, например, тут). По организации DMZ есть много толковых мануалов, так что заострять на этом внимания не буду — для простоты, почтовый сервер будет жить в одной сети со всеми остальными.

В этой статье я намеренно не буду пытаться охватить все аспекты существования офисного роутера (например, обеспечение резервирования или удалённого доступа сотрудников) — вы без труда найдёте на этом сайте нужную информацию воспользовавшись поиском или облаком тэгов.
netdiag2
Мы же остановимся именно на разграничении трафика между тремя сетями — для каждой будет отдельное адресное пространство, интерфейсы и правила фаервола.
Хорошей идеей было бы ограничить гостевую сеть с помощью очередей (queues), но это оставим для следующей статьи.
Приступим?
Читать далее Mikrotik для небольшого офиса

Leave a Comment

Yet another debootstrap manual

Казалось бы мануалов по debootstrap чуть более, чем достаточно, зачем нужен ещё один?
Для себя я скажу, что некоторые вещи показались мне неоднозначными, кое-какие «умолчания» пришлось додумывать самому. Поэтому и родилась идея сделать шпаргалку «на будущее», авось ещё кому пригодится.

Читать далее Yet another debootstrap manual

Leave a Comment

Виртуальная лаба в домашних условиях. Часть 2: apache и немного ansible

Продолжаем поднимать домашнюю лабу с преферансом и курсистками. В прошлой серии мы поговорили про сеть (с которой всё начинается), теперь же мы поговорим про вещи более практичные — доступ к виртуалкам извне с помощью reverse proxy, организацию ssl-подключения при помощи бесплатных сертификатов от Let’s Encrypt и немного посмотрим на плейбуки ansible, с помощью которых удобно раскатывать новые машины и готовить их к работе.
Читать далее Виртуальная лаба в домашних условиях. Часть 2: apache и немного ansible

Leave a Comment

Виртуальная лаба в домашних условиях. Часть 1: Сеть

На новогодних каникулах появилось, наконец, свободное время, чтобы заняться домашним сервером. Вместо Ubuntu 12.04 LTS был установлен VMWare ESXi 6.5, а сама система была разделена на несколько виртуалок, каждая под свою задачу.
С контейнерами пока решил не связываться — я пока не могу придумать реальную задачу, чтобы ради неё засесть за изучение Docker или LXC. Так что у нас будет классика — Debian 8 с последними апдейтами, свежая VMWare и Mikrotik («железный») в качестве роутера для всего этого счастья.
Читать далее Виртуальная лаба в домашних условиях. Часть 1: Сеть

Leave a Comment

Переключение роутера DD-WRT в режим точки доступа

Продолжаем серию статей по настройке роутера под управлением DD-WRT.
В этот раз покажу, как из роутера сделать точку доступа, которую можно будет потом использовать в хотспоте для расширения покрытия.

В наличии: роутер под управлением DD-WRT.
Нужно: настроить его в качестве точки доступа.

Читать далее Переключение роутера DD-WRT в режим точки доступа

2 комментария

Включение Chillispot на роутере DD-WRT

Мы начинаем подбираться к очень «вкусной» теме, а именно — к работе хотспота на роутере с DD-WRT.
Ни для кого не секрет, что роутеры Mikrotik при всех своих плюсах имеют один весьма досадный недостаток — это их цена. Латыши это прекрасно знают, и потому то и дело выпускают «облегченные» модели (например hAP Lite), но всё равно остаются сложности с доступностью самих устройств (вне Москвы и Питера с этим могут возникнуть проблемы) а так же с соотношением цена/производительность.

С другой стороны, DD-WRT ставится на внушительный список железа, среди которого есть очень и очень популярные модели от ведущих вендоров. Что это значит для потребителя? Это значит, что он может, без особых проблем просто пойти в ближайший магазин и купить роутер, на который можно поставить DD-WRT (потеряв, разумеется, гарантию) и получить функциональность Hotspot.
Читать далее Включение Chillispot на роутере DD-WRT

Leave a Comment

Hotspot для самых маленьких, часть 4: подключаем RADIUS

Доброго времени суток!

Предыдущие серии:
Hotspot для самых маленьких, часть 1
Hotspot для самых маленьких, часть 2: своя страница входа + социальные сети
Hotspot для самых маленьких, часть 3: https и shaping

Соскучились уже, наверное?

Сегодня часть будет короткой, а посвящена она будет хранению учетных записей пользователей. Не всегда удобно заводить пользователей хотспота на каждом устройстве. А если устройств много? А если пользователей? А если хочется еще и каждому пользователю набор атрибутов — скорость там, приоритет, баланс (если доступ платный) ну и так далее.
Для управления аутентификацией и авторизацией люди и придумали RADIUS — Remote Authentication in Dial-In User Service. Изначально он обслуживал dial-up подключения (отсюда и dial-in в названии), а сейчас же его возможности гораздо шире.

В Linux одна из самых популярных реализаций это FreeRADIUS. Её то мы и будем использовать.
Читать далее Hotspot для самых маленьких, часть 4: подключаем RADIUS

9 комментариев

Установка Graylog в Debian Jessie 8

Задача сбора и хранения логов, рано или поздно, встает перед каждым админом. Раньше данные собирались с помощью rsyslog и выводились через LogAnalyzer. Но времена меняются, сейчас в моде DevOPS и Java и логов всевозможных стало гораздо больше и средства для их хранения/аналитики шагнули далеко вперед (Elasticsearch/MongoDB), и визуализация стала на порядок лучше.
Словом, ни одной причины не попробовать что-нибудь из новомодных штук.

Я решил остановиться на Graylog2 — он мне показался довольно простым в установке, да и DevOPS’ы наши посоветовали именно его.

Читать далее Установка Graylog в Debian Jessie 8

Leave a Comment