В наличии RBD52G-5HacD2HnD и сегодня речь пойдет о том, что я узнал, оказывается можно смотреть какова пропускная способность на устройстве и что самое интересное что само устройство строит графики по CPU, Memory, Disk и для всех интерфейсов, будь они физические так и виртуальные (OpenVPN, VLAN, CAPsMAN интерфейсы и т.д.). Вот как оказывается хоть и знаешь, и умеешь многое, но порой не устаешь удивляться что есть что-то что ты не знаешь. А когда есть свободное время то можно заняться самообразованием, время на все есть.
Шаг №1: Подключаюсь к своему Mikrotik RBD52G-5HacD2HnD (v7.14.1 on hAP ac^2) через утилиту winbox (v3.40)
winbox - IP&DNS:8291 or MAC - user&pass
Шаг №2: Активирую ведения визуализации построения графиков на интерфейсах:
winbox - IP&DNS:8291 or MAC - user&pass - Tools - Graphing — вкладка "Interface Rules" - Add
Interface: allAllow Address: 0.0.0.0/0Store on Disk: отмечаю галочкой
и нажимаю Apply, OK.
winbox - IP&DNS:8291 or MAC - user&pass - Tools - Graphing — вкладка "Resource Rules" - Add
Allow Address: 0.0.0.0/0Store on Disk: отмечаю галочкой
и нажимаю Apply, OK.
Шаг №3: Включаю/Проверяю что при обращении через браузер к Mikrotik откроется страница где будут графики пропускной способности для всех интерфейсов:
winbox - IP&DNS:8291 or MAC - user&pass - IP - Service
и включаю строку
Name: wwwPort: 80Available From: не трогаю, в последствии можно будет сделать что доступ только с определенных адресов, пока отовсюдуVRF: оставлю таблицу main
и нажимаю Enable, Apply, OK
см. скриншот как после активации сервиса для 80/tcp порта будет выглядеть:
Шаг №4: Чтобы можно было из вне (т.е. у меня адрес WAN-IP статический то этот шаг для меня актуален, если у Вас WAN-IP динамический, то для Вас нет и нужно делать по-другому) подключиться на Web—интерфейс Mikrotik нужно сделать правило в брандмауэере:
На заметку: У меня все Mikrotik которые я настраиваю на доступ локальной сети в сеть интернет защищены дефолтным набором правил, см. заметку: "Шаблон базовой защиты для Mikrotik", по мере наработок заметка дополняется. Если же Вы к Mikrotik обращаетесь из локальной сети, то по умолчанию доступ разрешен и нужно лишь проверить ниже следующую настройку на предмет, что сервис 80/tcp включен.
winbox - IP&DNS:8291 or MAC - user&pass - IP - Firewall — вкладка Filter Rules - Add
Вкладка "General"
Chain: inputProtocol: 6(tcp)Dst. Port: 80In. Interface: ether1
вкладка "Action"
Action: Accept
и нажимаю Apply, OK.
Ниже пример как выглядит правило
Шаг №5: Проверяем, что обратившись через браузер к WAN-IP Mikrotik на порт 80, т.е. URL ссылка будет вида: http://IP&DNS:80/graphs
ниже пример как это выглядит для наглядного понимания
Если перейти в ether1 — на этом интерфейсе у меня как раз настроен статический WAN-IP адрес который дает мне провайдер и вот он графики, но графики не слишком визуализированы (стоит подождать покуда статистика наберется), т.к. это тестовый Mikrotik на котором я обкатываю различные настройки:
А вот данные на моем домашнем Mikrotik RB2011UiAS-2HnD (mipsbe) он то у меня используется на всю катушку (тут и OpenVPN, WireGuard, VLAN, различные правила, доступы к серверам и сервисам)
ну тоже не особо то и блещет загрузкой, я конечно оставлю сбор статистики на более длительный срок, но как по мне лучше сбором статистики с Mikrotik'ов пусть занимается специализированного программное обеспечение, к примеру, Zabbix, а Mikrotik отвечает за коммуникацию.
Но для общего ознакомления данная заметка познавательно, в принципе можно и оставить Graphing дабы если руководство спросит, а нагружено ли у нас сетевое оборудование, а ты ему графики по CPU usage, Memory usage, Disk usage и все станет ясно.
Шаг №6: Не забываем, как только что-то применили к боевому и не понадобилось, то деактивируем настройки выше и если Mikrotik смотрит в интернет прямым адресом, то доступ к графикам предопределяем исключительно из локальной сети или сети VPN, из вне ни в коем случае не даем на прямую.
На этом я пока завершу данную заметку, с уважением автор блога Олло Александр aka ekzorchik.