Página 1 de 3 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Padrão Backup e Atualização em massa MK e UBNT

    Todos sabemos da necessidade, da obrigação do administrador em fazer o dever de casa (Atualizar os equipamentos, aplicar patch de segurança, alterar portas padrão de acesso, usar senhas fortes, criar restrição via ACL ou Firewall).

    Quem não o faz, provavelmente enfrenta problemas.

    Abaixo listo as Vulnerabilidades recentes da Mikrotik:

    • Vulnerability VPNFilter afeta MK nas versões até a 6.37.4 (Bugfix) ou 6.38.4 (Current).
    • Vulnerability SMB Buffer Overflow afeta MK nas versões até a 6.40.6 (Bugfix) ou 6.41.2 (Current).
    • Vulnerability Exploiting the Winbox Port afeta MK nas versões até a 6.40.7 (Bugfix) ou 6.42 (Current).
    • Vulnerability Winbox Authentication Bypass afeta todas as versões da 6.29 até a 6.42 (Current).


    Quando se tem 1, 5, 10 equipamentos.... fica fácil atualizar.
    O problema é quando se tem 50, 100 ou mais equipamentos.
    O processo é demorado e cansativo.

    Segue um script para atualização em massa.

    O script desativa alguns serviços raramente usados (ftp,www-ssl,api-ssl), desativa alguns pacotes raramente usados (calea, gps, ups, tr069-client).
    Desativa o "bandwidth-server", "DNS Server", "proxy", "socks" e "UPNP".
    E principalmente, ativa o rp-filter como loose (caso deseje saber mais sobre o rp-filter, leia https://bcp.nic.br/antispoofing)
    Por fim, verifica se precisa atualizar o Mikrotik ou não.

    Para usar o script, siga os passos abaixo:


    1. Descompacte o arquivo "AutoUpdate Mikrotik (SSH).zip"
    2. Com o bloco de notas, edite o arquivo "start update mikrotik.bat"
    3. Substitua:
      • - PORTASSHAQUI pela porta ssh que você usa em sua rede
      • - USERAQUI pelo seu usuario FULL que você usa para acesso
      • - SENHAAQUI pela senha desse usuario FULL.

    4. Com o bloco de notas, edite o arquivo "hosts.ini", e coloque o IP de acesso aos seus Mikrotik. (Um IP por linha)
    5. Execute o arquivo "start update mikrotik.bat"
    6. Pronto... o script cuidara de acessar cada um desses IPs configurados e irá aplicar o script.



    Eu poderia ter acrescentado nesse script algumas outras configurações avançadas, tais como:
    - desativar serviços n usados e alterar portas dos demais serviços.
    - ativar rp-filter strict nos CE ao invés de loose,
    - colocar acl de acesso aos serviços,
    - firewall bloqueando portas vulneráveis ou amplificadoras,
    - bloqueio externo a portas de gerencia,
    - outros....

    Mas isso depende de rede para rede.
    Então optei por colocar apenas algumas config padrão que considero semelhante na maioria das redes.

    Edit:
    Nova versão do script no post:
    https://under-linux.org/showthread.p...l=1#post834196

    Fonte:
    https://forum.mikrotik.com/viewtopic.php?t=5339
    https://forum.mikrotik.com/viewtopic.php?t=102734
    Última edição por AndrioPJ; 13-08-2018 às 20:19.

  2. #2

    Padrão Re: Atualização em massa

    Boa AndrioJP, Parabéns irmão!

  3. #3
    André Andrade*MikrotikRio Avatar de interhome
    Ingresso
    Oct 2008
    Localização
    Brasil.
    Posts
    1.116
    Posts de Blog
    15

    Padrão Re: Atualização em massa

    Parabéns pela iniciativa.

  4. #4

    Padrão Re: Atualização em massa

    Obrigado

  5. #5

    Padrão Re: Atualização em massa

    cara ja cliquei n *. Muito boa a iniciativa

  6. #6

    Padrão

    Segue em anexo nova versão do script
    - Não precisa mais abrir o cmd para executar o script, depois de editar o host.ini com seus IPs e de alterar a porta/usuario/senha (conforme descrito acima), ai basta executar o "start update mikrotik.bat".
    - Adicionado no script o parâmetro para aceitar o HostKey SSH automaticamente.
    - Corrigido um erro na verificação de versão do Mikrotik.

  7. #7

    Padrão Re: Atualização em massa

    Ótima iniciativa

  8. #8

    Padrão Re: Atualização em massa

    no meu Windows 8.1 nao roda o bat.. sera que nao e compatível com o sistema??

  9. #9

    Padrão Re: Atualização em massa

    Citação Postado originalmente por UNDERLINE2009 Ver Post
    no meu Windows 8.1 nao roda o bat.. sera que nao e compatível com o sistema??
    ele mostra algum erro ou apenas não abre?

    Tentou clicar com o botão direito do mouse e "executar como administrador"?

  10. #10

    Padrão

    Citação Postado originalmente por AndrioPJ Ver Post
    ele mostra algum erro ou apenas não abre?

    Tentou clicar com o botão direito do mouse e "executar como administrador"?


    SIM tentei ate no windows Xp porem ele abre e fecha rapido .. tao rapido que so relampeja a tela preta.. conferi tudo porem nao consigo fazer rodar, tentei rodar os executaveis PLINK e PSCP CLICANDO DIRETO neles porem acontece o mesmo ... qulaque ajuda é bem vinda ja que se funcionar vai ser uma mao na roda pra mim.. agradeço a contrubuicao..

  11. #11

    Padrão Re: Atualização em massa

    Citação Postado originalmente por UNDERLINE2009 Ver Post
    SIM tentei ate no windows Xp porem ele abre e fecha rapido .. tao rapido que so relampeja a tela preta.. conferi tudo porem nao consigo fazer rodar, tentei rodar os executaveis PLINK e PSCP CLICANDO DIRETO neles porem acontece o mesmo ... qulaque ajuda é bem vinda ja que se funcionar vai ser uma mao na roda pra mim.. agradeço a contrubuicao..
    Abre o CMD,
    Navegue até a pasta onde você descompactou os arquivos.
    ai rode o comando:
    "start update mikrotik.bat"

    Ele vai executar e manter em aberto a tela, assim você vai conseguir ver qual o erro.

  12. #12

    Padrão Re: Atualização em massa

    entao agora ao fazer isso ele ta rodando blz desde ja agradeço de mais, e meus parabens por compartilhar conhrcimrnto

  13. #13

    Padrão Re: Atualização em massa

    meu teclado ta com defeito, mas ta valendo , outra coisa que ja tentei fazer e nunca conseguir, sei que o topico é sobre outro assunto porem se pudesse ajudar, tenho uma rede em que eu adiciono pppoe em rbs todo dia ai queria aruumar alguma forma de cadastra o cliente na rb via comando ssh pra facilitar pra mim , tipo uma pagina php que eu escolhia a concentradora (pra onde vai o pppoe ) e a antena (para onde vai o mac e comentário) fazer os comando via terminal consigo, so nao consigo automatizar essa tarefa ´pra ficar mais fácil injetar clientes nas rbs e antenas, sei que tem programas radius etc, mas gerencio tudo pelo mk mesmo e um sistema simples desse ajudaria, mas pelo que vi nao achei na internet.. mas obrigado por tudo por enquanto.

  14. #14

    Padrão Re: Atualização em massa

    Eu consegui usar o programa, meu mk está a 6.42.3 e tem a versão 6.42.6 pra att, só que o script fica verifica atualização, instalando atualização, ai logo aparece, nenhuma atualização para instalar... Como resolvo Andrio?

  15. #15

    Padrão Re: Atualização em massa

    Citação Postado originalmente por igorroseno Ver Post
    Eu consegui usar o programa, meu mk está a 6.42.3 e tem a versão 6.42.6 pra att, só que o script fica verifica atualização, instalando atualização, ai logo aparece, nenhuma atualização para instalar... Como resolvo Andrio?
    Esse MK tem acesso a internet?
    Caso contrario, temporariamente, terá que fazer um NAT geral

  16. #16

    Padrão Re: Atualização em massa

    ele vai derrubando um a um, ou faz tudo de uma so vez? Vou aplicar mas to com medo de derrubar a rede toda

  17. #17

    Padrão Re: Atualização em massa

    Citação Postado originalmente por netuai Ver Post
    ele vai derrubando um a um, ou faz tudo de uma so vez? Vou aplicar mas to com medo de derrubar a rede toda
    Ele vai fazer um a um.
    Assim que ele rodar o comando no primeiro, vai tentar comunicar com o segundo.
    Logo, esse segundo não pode estar atrás do primeiro.
    Digo isso, pois a cada atualização, a RB reinicia.

    Dica:
    Coloque os IPs na lista de tal forma que comece a atualização pelos mais distantes.
    E de preferencia, divida em setores.
    IP mais distante do setor A
    IP mais distante do setor B
    e por ai vai.

  18. #18

    Padrão Re: Atualização em massa

    Citação Postado originalmente por AndrioPJ Ver Post
    Ele vai fazer um a um.
    Assim que ele rodar o comando no primeiro, vai tentar comunicar com o segundo.
    Logo, esse segundo não pode estar atrás do primeiro.
    Digo isso, pois a cada atualização, a RB reinicia.

    Dica:
    Coloque os IPs na lista de tal forma que comece a atualização pelos mais distantes.
    E de preferencia, divida em setores.
    IP mais distante do setor A
    IP mais distante do setor B
    e por ai vai.
    Meu caso vai cair o pessoal aleatoriamente, pois envio ip real de forma dinâmica pelo pppoe, portanto cada hora é um ip

  19. #19

    Padrão Re: Atualização em massa

    o meu não quiz rodar, editei os ips de forma correta e esta dando a seguinte mensagem
    "pw" não é reconhecido como comando interno ou externo, um programa operável ou um arquivo em lotes.

    Clique na imagem para uma versão maior

Nome:	         Sem título.jpg
Visualizações:	229
Tamanho: 	94,2 KB
ID:      	68826

  20. #20

    Padrão Re: Atualização em massa

    Citação Postado originalmente por netuai Ver Post
    o meu não quiz rodar, editei os ips de forma correta e esta dando a seguinte mensagem
    "pw" não é reconhecido como comando interno ou externo, um programa operável ou um arquivo em lotes.

    Clique na imagem para uma versão maior

Nome:	         Sem título.jpg
Visualizações:	229
Tamanho: 	94,2 KB
ID:      	68826
    revise o arquivo "start update mikrotik.bat"
    Tem algo errado nele