Mikrotik Анализ трафика пользователей

[ Версия для печати ]
Добавить в Facebook Добавить в Twitter Добавить в Вконтакте Добавить в Одноклассники
  [ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]
Грамыгайлофф
21.08.2018 - 16:27
Статус: Offline


Ярила

Регистрация: 9.06.06
Сообщений: 1126
9
Знаю что на Япе тусуят самые Опытные Гуру Микротика,
Доброго дня уважаемые!

Нами используется прозрачный для пользователя прокси сервер Mikrotik, умеющий по сути, лишь ограничивать доступ к ресурсам
работающим через не зашифрованное соединение, хотелось бы также иметь возможность формировать какуюто статистику, отчеты.
Необходимо знать и иметь такую статистику, и когда вдруг попросят такое предоставить, чем развести руками и сказать что её просто нет!
Поэтому больше месяца пытаюсь понять чем можно проанализировать трафик с микротика.
На нем есть возможность транслировать логи на специально выделенный ip адрес, на котором (ну не хочеться ставить какойто радиус сервер)
логи будут собираться, обрабатываться , и создаваться отчёты, например :сформировать отчет использования интернета на рабочих местах.

Пробывал разные программы:
-10-Страйк: Учет трафика (соединяться через SNMP) непонятно что считает,
-ManageEngine NetFlow Analyzer легко настраивается на самом Mikrotik но ограничение по времени.

вот и думаю что ещё попробывать, был бы очень рад узнать,
чем настоящие специалисты анализируют трафик прошедший через микротик.

Сам вопрос: Кто чем анализирует трафик с Микротика?
 
[^]
Yap
[x]



Продам слона

Регистрация: 10.12.04
Сообщений: 1488
 
[^]
Beovels
21.08.2018 - 22:30
2
Статус: Offline


Шутник

Регистрация: 4.09.15
Сообщений: 27
В System -> Logging есть возможность отправлять логи по сети. Добавьте туда webproxylog с методом отправки remote, указав там сервер куда отправлять. Никакой сервер с радиус не нужен.
Таким образом собирал системные логи микрота, проблем не было.
 
[^]
Грамыгайлофф
22.08.2018 - 08:22
0
Статус: Offline


Ярила

Регистрация: 9.06.06
Сообщений: 1126
а чем их анализировал?
 
[^]
Beovels
22.08.2018 - 21:00
3
Статус: Offline


Шутник

Регистрация: 4.09.15
Сообщений: 27
Цитата (Грамыгайлофф @ 22.08.2018 - 08:22)
а чем их анализировал?

тогда это был просто линуксовый сервер с rsyslog.
у микротов есть свой софт для мониторига - dude.
Можно по пробовать в него зарулить логи от прокси, правда я так не пробовал
https://wiki.mikrotik.com/wiki/Dude_as_Syslog_Server
 
[^]
Грамыгайлофф
6.09.2018 - 10:19
0
Статус: Offline


Ярила

Регистрация: 9.06.06
Сообщений: 1126
чёт не ставиться пакет dude-6.42.7.npk
на 951G-2HnD
 
[^]
Psiho
6.09.2018 - 10:25
1
Статус: Offline


Хохмач

Регистрация: 20.03.07
Сообщений: 771
https://mikrotik.ru/katalog/katalog/hardwar...rator/RB1100Dx4

"Сервером могут быть только "старшие" модели, начиная с серии RB1100, The Dude client доступен для абсолютно всех моделей Mikrotik"
 
[^]
Грамыгайлофф
6.09.2018 - 11:01
0
Статус: Offline


Ярила

Регистрация: 9.06.06
Сообщений: 1126
а как же тогда смотреть, кто куда ходил, если есть только 951G-2HnD?
 
[^]
evildemon
6.09.2018 - 11:07
1
Статус: Offline


Весельчак

Регистрация: 30.05.12
Сообщений: 150
давненько описывал как это делал тут https://habr.com/post/179233/ А не проще ли завести что-то отдельное для нормальной фильтрации и сбора статистики?
 
[^]
azomorth
6.09.2018 - 11:18
0
Статус: Offline


CEO Mad Liquids

Регистрация: 11.10.13
Сообщений: 475
10-страйк - ну такое себе.
Nagios Network Analyzer попробуй, на Zabbix вроде тоже можно такое сотворить, только я с ним не работал.
Сколько у тебя пользователей? Может тебе проще поставить простой биллинг типа Mikbill?
Что именно ты хочешь проанализировать? Куда шарятся пользователи в рабочее время?

Это сообщение отредактировал azomorth - 6.09.2018 - 11:19
 
[^]
Грамыгайлофф
6.09.2018 - 12:00
0
Статус: Offline


Ярила

Регистрация: 9.06.06
Сообщений: 1126
пользователей около сотни, посмотреть нагрузки канала, какие пользователи или железки чем его нагружают.
 
[^]
kosyaka
6.09.2018 - 18:53
0
Статус: Offline


Юморист

Регистрация: 4.06.13
Сообщений: 526
Я в итоге уперся в фряху + вариация нетфлоу ( только не netflow, он не пашет. по моему взял flow-tools). На фряхе легкая вебморда из того же комплекта на пхп и вуяля. Ща собираюсь поставить аддоны что бы великое начальство могло само все смотреть.


Камрады, раз тут есть сталкивающиеся с этим ... Никто не знает пределов CAPSMAN ? или хотя бы методов его ускорения. RB2011 Откровенно не тянет, хотя загрузка выше 30% не бывает ( по цпу, трафик вообще смешной ). Клиентов 100+ (пик 130, но это пока. касс все больше. хомячков тем более), по точкам более менее равномерно распределены. Localforwarding по барабану ( советовали, но эффект не меняется). В общем скажем не быстро он работает.

Это сообщение отредактировал kosyaka - 6.09.2018 - 18:55
 
[^]
Beovels
6.09.2018 - 19:29
0
Статус: Offline


Шутник

Регистрация: 4.09.15
Сообщений: 27
Грамыгайлофф , сервер dude может быть и виндовый и линуксовый, не обязательно на самом микроте поднимать. для теста проще к себе на комп поставить, может оно вообще и не пойдет.
Касаемо нагрузки канала и состоянии самой железки dude тоже это умеет.
В для более мирного сосуществования вероятно проще отдельно прокси поднять и пользователей через него пустить, там и будет и блокировка, и статистика. А для мониторинга заббикс, как выше и советовали. В теории все это можно на одном сервере уместить.
 
[^]
yaphunter
6.09.2018 - 19:37
0
Статус: Offline


Ярила

Регистрация: 4.08.13
Сообщений: 3564
04.09.2018 22:20 Более 7500 маршрутизаторов MikroTik вовлечены в атаку с перехватом трафика
Цитата
Всегда при покупке роутера сношу заводской бэкдор и ставлю OpenWRT. Будь мужиком, делай как я!

cool.gif
 
[^]
evildemon
6.09.2018 - 20:37
0
Статус: Offline


Весельчак

Регистрация: 30.05.12
Сообщений: 150
об этом кстати производитель ещё месяц назад писал что исправили уязвимость и убеждали обновится. Еого затронули - ленивая жопа
 
[^]
evildemon
6.09.2018 - 20:39
0
Статус: Offline


Весельчак

Регистрация: 30.05.12
Сообщений: 150
Цитата (kosyaka @ 6.09.2018 - 17:53)
Я в итоге уперся в фряху + вариация нетфлоу ( только не netflow, он не пашет. по моему взял flow-tools). На фряхе легкая вебморда из того же комплекта на пхп и вуяля. Ща собираюсь поставить аддоны что бы великое начальство могло само все смотреть.


Камрады, раз тут есть сталкивающиеся с этим ... Никто не знает пределов CAPSMAN ? или хотя бы методов его ускорения. RB2011 Откровенно не тянет, хотя загрузка выше 30% не бывает ( по цпу, трафик вообще смешной ). Клиентов 100+ (пик 130, но это пока. касс все больше. хомячков тем более), по точкам более менее равномерно распределены. Localforwarding по барабану ( советовали, но эффект не меняется). В общем скажем не быстро он работает.

а точно дело в самом капсмане? без него скорость хорошая?
У меня на нескольких объектах вполне вменяемая скорость
 
[^]
ЖаднаяЖижa
6.09.2018 - 20:41
-1
Статус: Offline


Ярила

Регистрация: 23.01.16
Сообщений: 2135
Микротик, хуётик..
Ну торчу я регулярно на порно сайтах и чё?
 
[^]
VolgaPM
6.09.2018 - 20:43
0
Статус: Online


Шутник

Регистрация: 2.08.15
Сообщений: 86
Делал зеркалирование трафика на определенный порт, а там его снимал виндовым нетфлоу, он и давал анализ
вот, ссыль нашел net analizer

Это сообщение отредактировал VolgaPM - 6.09.2018 - 20:47
 
[^]
kosyaka
6.09.2018 - 20:50
0
Статус: Offline


Юморист

Регистрация: 4.06.13
Сообщений: 526
Цитата (evildemon @ 6.09.2018 - 20:39)
а точно дело в самом капсмане? без него скорость хорошая?
У меня на нескольких объектах вполне вменяемая скорость

Да, в сети пара точек ( под свои нужны) без capsman (ap mode)- идеально и быстро. Сама по себе вафля тоже не причем - что на 2.4 , что на 5 одинаково подлагивает. Хотя после долгих курtней пришел к выводу что на rb2011 с этим грустно априори. Поднял новый, глянул - та же история.
 
[^]
evildemon
6.09.2018 - 20:52
0
Статус: Offline


Весельчак

Регистрация: 30.05.12
Сообщений: 150
у 2011 проц довольно слабый. лучше 3011 для такого брать, имхо. он уже там арм и двухядерный.
 
[^]
kosyaka
6.09.2018 - 20:52
0
Статус: Offline


Юморист

Регистрация: 4.06.13
Сообщений: 526
Цитата (VolgaPM @ 6.09.2018 - 20:43)
Делал зеркалирование трафика на определенный порт, а там его снимал виндовым нетфлоу, он и давал анализ
вот, ссыль нашел net analizer

Так и не смог подружить с тиком. В разных вариациях. Да и не стоит забывать, что протокол изначально кошачий и все остальное ( как я понял ) уже обратная инженерия.

ps может дело в лицензии было, но никакие демки не заработали. ни на одной из версий протокола.
 
[^]
kosyaka
6.09.2018 - 20:55
0
Статус: Offline


Юморист

Регистрация: 4.06.13
Сообщений: 526
Цитата (evildemon @ 6.09.2018 - 20:52)
у 2011 проц довольно слабый. лучше 3011 для такого брать, имхо. он уже там арм и двухядерный.

Так же подумал. Сначала. Потом попробовал поднять ещё один клиентов на 10 на hap (вроде) . Все работает. Спидтесты/торренты все ок. Пинги в порядке. А вот время доступа ужасное ( загрузка страницы до двух секунд ). Как только выключаю cap - все ок.


Ps ещё вопрос (раз уж ^_^ ) - можно ли дублировать инжектор с помощью PoE?


 
[^]
snake76
6.09.2018 - 21:02
0
Статус: Offline


Рупор позитива

Регистрация: 3.11.17
Сообщений: 1258
Я бы поднял нормальный шлюз-маршрутизатор на Pfsense, прикрутил бы сквид, Sarg и вуаля - отчёты какие хошь, кто куда ходил, сколько трафика сожрал, что качал.

Ну а микротик - в резерв.
 
[^]
kosyaka
6.09.2018 - 21:08
1
Статус: Offline


Юморист

Регистрация: 4.06.13
Сообщений: 526
Цитата (ЖаднаяЖижa @ 6.09.2018 - 20:41)
Микротик, хуётик..
Ну торчу я регулярно на порно сайтах и чё?

yandex.dns поможет тебе gigi.gif
 
[^]
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей) Просмотры темы: 16681
0 Пользователей:
[ ОТВЕТИТЬ ] [ НОВАЯ ТЕМА ]


 
 



Активные темы








Наверх