Mikrotik a zablokování SSH spojení

[lukas016]

Dobry den,

     nevie mi niekto poradit ako sa da pouzivat bash script vyuzivajuci ssh spojenie pre pracu s mikrotik routerOS. Od verzie 5.xx som sa stretol s problemom ze po urcitom pocte pripojeni mikrotik "zablokuje spojenie" a pomoze az restart zariadenia.

Na forach som cital ze problem pretrvava aj v beta verziach 6.xx (Plus odporucanie prejst na Mikrotik API + po zablokovani pripojenia cez ssh sa aj mikrotik API spravalo rovnako).

Riesil to uz niekto ako by sa to dalo osetrit?

Za odpoved vopred dakujem.

[Reklama]

[Jim]

Moc nevím o čem je řeč, ale pokud máte nějaký script a Mikrotiku se nelíbí počet spojení, proč tu session navazovat stále dokola a nehnat to jedním ssh spojením?

[lukas016]

A ako mozem udrzat session ak volam v bash prikaz ssh? (niekedy mi neprejde vystup takze musim prikaz volat viac krat).

[Jim]

jak v bashi ssh?

Kód: [Vybrat]

ssh ip -l jimmi otevře ssh na ip a dokud se nelogoutnu nebo mě neodpojí například host jsem tam a strkám mu cmd jaké chci. Chápu že máte nějaký script, ale nerozumím tomu proč si tento script otevírá pro každý cmd ssh session když se nemusí mezi odpojovat...

[Jim]

Pardon, zpětně mi došlo že se nebavíme o Bashi jakožto o Shellu ale jakožto o samotném scriptu.

[Reklama]

[lukas016]

Mozem tam poslat viac prikazov naraz ale niekedy mi neprejde cely vystup tak musim spatne poslat prikaz. Co by chcelo "zlozitejsi" algoritmus a nebolo by to vhodne lebo niektore veci riesim v casovych intervaloch a mam rozne scripty ktore robia rozne veci. Preto by som potreboval nejak osetrit to pripajanie.

[Jim]

Tak pokud vás to nějak limituje, na vině je jedině samotný Mikrotik, jste si jist že tam nemáte aktivní nějakou intrusion prevention nebo podobně? S Mikrotikem se mé zkušenosti rovnají absolutní nule, ale nečekal bych že bude složité toto vyřešit.

[Lol Phirae]

Myslel jsem, že ten geek poklad, na jehož konfiguraci je potřeba přinejmenším VŠ, je celkem těžce placený, adekvátně tomu bych očekával podporu... Jestli nejsou schopní vyřešit takovou prkotinu, tak potěš hodiny.

[lukas016]

Tak co som cital na jednom fore dostal uzivatel z oficialnej podpory odpoved ze o probleme vedia a odporucili mu znizit pocet session.
Problem by sa dal riesit scriptami pisanimi priamo v mikrotiku a exportom udajov do suboru, kde by si bash script cez ftp subor prevzdal a dalej pracoval s udajmi (ale toto riesenie je vhodne len pre analyzu) a v pripade zmeny alebo pridania scriptu by to treba robit na kazdom mikrotiku co pri vacsiom pocte by bolo kus neefektivne a BASH scripty robili vsetko centralne.

[Jim]

Tak to vážně moc nechápu, není ovládání pomocí ssh jednou ze zcela zásadních funkcionalit takovýchto routerů? Proč Mikrotik poslední rok přede mnou každý jen vychvaluje, pokud je tam takto zásadní neřešitelný bug o kterém tvrdí na podpoře že ho registrují?

[lukas016]

Mikrotik nie je zly len zrejme sa im nieco nepodarilo. Ale problem zacina az od verzie 5.xx a ked sa nepouzivaju bash scripty vo velkej miere tak by to nemal byt problem. Ale mne scripty bezia skoro kazdych 5 min. A niektore scripty vytvaraju aj 50 session lebo sa musim kvoli kazdemu prikazu dotazovat a niekedy neobdrzim cely vystup tak znovu, co mi robi problemy. Co som cital tak odporuca sa pouzivat Mikrotik API, ktore je napisane pre vacsinu jazykov.

Co som skusal tak do 10000 session to funguje dobre, potom je nutny restart cez winbox alebo si mozes aj nastavit v mikrotiku planovy restart kazde 3 dni o 4 rano a problem je vyrieseny. Len taketo riesenie sa mi nepaci.

Pocet session sa da znizit aj pomocou SNMP pre zbieranie informacii ale osobne mam prezentaciu dat z konzoloveho rozhrania radsej.

[Lol Phirae]

Tak to vážně moc nechápu, není ovládání pomocí ssh jednou ze zcela zásadních funkcionalit takovýchto routerů? Proč Mikrotik poslední rok přede mnou každý jen vychvaluje, pokud je tam takto zásadní neřešitelný bug o kterém tvrdí na podpoře že ho registrují?

Taky mi to každý vychvaloval, tak jsem si to vzal na pár dní na testování, zjistil, že to je prakticky nepoužitelné bez minimálně několikatýdenního studia, některé věci se navíc chovaly nanejvýš pochybně v duchu tohoto dotazu, tak jsem to zase vrátil a postavil pár krabiček z Alixe a hodil na to pfsense... ten HW by byl stejně overkill a zbytečně drahý, ale v tom by problém nebyl. Ono z hlediska toho, že by se člověk vybodnul na RouterOS a hodil tam nějakou alternativu, je sebelepší HW postavený na MIPSu značně "neoptimální", mírně řečeno.