В наличии RBD52G-5HacD2HnD и сегодня речь пойдет о том, что я узнал, оказывается можно смотреть какова пропускная способность на устройстве и что самое интересное что само устройство строит графики по CPU, Memory, Disk и для всех интерфейсов, будь они физические так и виртуальные (OpenVPN, VLAN, CAPsMAN интерфейсы и т.д.). Вот как оказывается хоть и знаешь, и умеешь многое, но порой не устаешь удивляться что есть что-то что ты не знаешь. А когда есть свободное время то можно заняться самообразованием, время на все есть.

Шаг №1: Подключаюсь к своему Mikrotik RBD52G-5HacD2HnD (v7.14.1 on hAP ac^2) через утилиту winbox (v3.40)

winbox - IP&DNS:8291 or MAC - user&pass

Шаг №2: Активирую ведения визуализации построения графиков на интерфейсах:

winbox - IP&DNS:8291 or MAC - user&pass - Tools - Graphing — вкладка "Interface Rules" - Add

  • Interface: all
  • Allow Address: 0.0.0.0/0
  • Store on Disk: отмечаю галочкой

и нажимаю Apply, OK.

winbox - IP&DNS:8291 or MAC - user&pass - Tools - Graphing — вкладка "Resource Rules" - Add

  • Allow Address: 0.0.0.0/0
  • Store on Disk: отмечаю галочкой

и нажимаю Apply, OK.

Шаг №3: Включаю/Проверяю что при обращении через браузер к Mikrotik откроется страница где будут графики пропускной способности для всех интерфейсов:

winbox - IP&DNS:8291 or MAC - user&pass - IP - Service

и включаю строку

  • Name: www
  • Port: 80
  • Available From: не трогаю, в последствии можно будет сделать что доступ только с определенных адресов, пока отовсюду
  • VRF: оставлю таблицу main

и нажимаю Enable, Apply, OK

см. скриншот как после активации сервиса для 80/tcp порта будет выглядеть:

Активируем на Mikrotik Web-сервис: 80/tcp

Шаг №4: Чтобы можно было из вне (т.е. у меня адрес WAN-IP статический то этот шаг для меня актуален, если у Вас WAN-IP динамический, то для Вас нет и нужно делать по-другому) подключиться на Webинтерфейс Mikrotik нужно сделать правило в брандмауэере:

На заметку: У меня все Mikrotik которые я настраиваю на доступ локальной сети в сеть интернет защищены дефолтным набором правил, см. заметку: "Шаблон базовой защиты для Mikrotik", по мере наработок заметка дополняется. Если же Вы к Mikrotik обращаетесь из локальной сети, то по умолчанию доступ разрешен и нужно лишь проверить ниже следующую настройку на предмет, что сервис 80/tcp включен.

winbox - IP&DNS:8291 or MAC - user&pass - IP - Firewall — вкладка Filter Rules - Add

Вкладка "General"

  • Chain: input
  • Protocol: 6(tcp)
  • Dst. Port: 80
  • In. Interface: ether1

вкладка "Action"

  • Action: Accept

и нажимаю Apply, OK.

Ниже пример как выглядит правило

Правило на доступ из вне на 80 порт

Шаг №5: Проверяем, что обратившись через браузер к WAN-IP Mikrotik на порт 80, т.е. URL ссылка будет вида: http://IP&DNS:80/graphs

ниже пример как это выглядит для наглядного понимания

URL вида http://IP&DNS:80/graphs

Если перейти в ether1 — на этом интерфейсе у меня как раз настроен статический WAN-IP адрес который дает мне провайдер и вот он графики, но графики не слишком визуализированы (стоит подождать покуда статистика наберется), т.к. это тестовый Mikrotik на котором я обкатываю различные настройки:

Статистика по ether1 на Mikrotik через Web-интерфейс отображаемая.

А вот данные на моем домашнем Mikrotik RB2011UiAS-2HnD (mipsbe) он то у меня используется на всю катушку (тут и OpenVPN, WireGuard, VLAN, различные правила, доступы к серверам и сервисам)

А вот данные на моем домашнем Mikrotik RB2011UiAS-2HnD (mipsbe) он то у меня используется на всю катушку (тут и OpenVPN, WireGuard, VLAN, различные правила, доступы к серверам и сервисам)

ну тоже не особо то и блещет загрузкой, я конечно оставлю сбор статистики на более длительный срок, но как по мне лучше сбором статистики с Mikrotik'ов пусть занимается специализированного программное обеспечение, к примеру, Zabbix, а Mikrotik отвечает за коммуникацию.

Но для общего ознакомления данная заметка познавательно, в принципе можно и оставить Graphing дабы если руководство спросит, а нагружено ли у нас сетевое оборудование, а ты ему графики по CPU usage, Memory usage, Disk usage и все станет ясно.

Шаг №6: Не забываем, как только что-то применили к боевому и не понадобилось, то деактивируем настройки выше и если Mikrotik смотрит в интернет прямым адресом, то доступ к графикам предопределяем исключительно из локальной сети или сети VPN, из вне ни в коем случае не даем на прямую.

На этом я пока завершу данную заметку, с уважением автор блога Олло Александр aka ekzorchik.

От ekzorchik