Vlákno názorů k článku
MikroTik zažívá další vlnu DDoS útoků
od byCx - Můžete se tu ohánět školeními a znalostmi, ale...
-
https://wiki.mikrotik.com/wiki/Manual:Upgrading_RouterOS#Automatic_upgrade
23. 9. 2021, 21:29 editováno autorem komentáře
-
Můžou to pojmenovat třeba "růžový slon", ale automatický upgrade se z toho nestane.
"The automatic upgrade feature connects to the MikroTik download servers, and checks if there is a new RouterOS version for your device. If yes, a changelog is displayed, and Upgrade button is shown. Clicking the upgrade button, software packages are automatically downloaded, and device will be rebooted."
-
Ano, automatický upgrade v klíčovém provozu. Tyhle problémy se nedějí v místech, kde máte člověka, který se o to stará, ale v SOHO, kde takový člověk přijede jednou za pět let, když to je potřeba vyměnit. Pokud zařízení, kde je nějaký privátní subnet a vnější adresa s NATem, není schopno přežít update, tak tam nemá co dělat.
-
"Takže znova"
Tohle je fakt trapný, budete to opakovat nějak často? Merit věci to totiž nemění.
Mikrotik neběží na Windows, co se tím snažíte tedy sdělit? Na světě je hromada Mikrotiků, u kterých nikdo neplánuje aktualizace. Dělají jednoduchou práci, co jde ven schovají za svou vnější IP adresu, co je uvnitř, tomu adresu dají a dovolí tomu komunikovat ven. Doma to mají lidi, pro které je to blackbox a i kdyby tušili, že se o to mají starat, tak to dělat nebudou. Tyhle krabice by se prostě měly aktualizovat sami. Umí to UBNT, umí to Turris, umí to Synology, proč to nemůže umět Mikrotik? Pak se v tom najde nějaká triviálně zneužitelná díra a už to jede.
-
Snažím se sdělit, že automatické aktualizace od výrobce nasazené bez otestování jsou v příčetné produkci naprosto nepoužitelné - a je úplně jedno, jestli se jedná o printserver nebo o router. To druhé je tedy ještě daleko horší, protože bez internetu dnes v normální firmě nefunguje víceméně nic, s tím tiskem přinejhorším s flashkou vyrazím k nějaké nouzové USB tiskárně.
24. 9. 2021, 17:19 editováno autorem komentáře
-
Nikdy jsem s tím neměl problémy.
Na závěru koncertu praská Kubešovi struna, ale nevyměňuje si ji. Není mi to jasný a tak k němu putuju s tamburínou v ruce.
„Nemám ji. No prostě ji nemám!“ To je Kubešova odpověď.
Na sólech je to znát, kapela je nervózní, ale publikum nic netuší, Standa je tak dobrej, mizera, že hraje výtečně i bez prasklé struny. Přesto je mou povinností, abych mu po koncertě vynadal.
„Jak to, že si nevezmeš na jeviště náhradní struny?“
„Jak to neberu? Beru!“
„Tak proč sis ji nevyměnil?“
„Neměl jsem ji!“
„Dyk říkáš, že sis ji vzal!“
„Tuhle né!“
„A proč?“
„Protože ta nikdy nepraská!“
„Dyk ti praskla!“
„To jo, ale nikdy nepraská!“
„Tebe nenapadlo, že by mohla prasknout? Ty bys ji neunes na to jeviště s ostatníma rezervníma strunama?“
„Sakra, dyk říkám, že nikdy nepraská!“
„Ale tobě praskla! Uvěříš teď tomu, že praská taky tahle struna?“
„Nepraská!“
„Tobě praskla!“
„To jo, ale jinak nikdy!“
„Připouštíš ale teď, že ti praskla, že je to možné?“
„Ne!“
„Ale teoreticky ano, alespoň to uznej, Stando!“
„Ne.“
„Dobrá,“ končím dialog. „Shodli jsme se na tom, že tahle struna nikdy nepraská, ale tobě náhodou praskla. Budeš si ji ode dneška pro jistotu brát na jeviště?“
„Ne.“
„Proč?“
„Protože tahle struna nepraská.“
-
Když si projdete tohle vlákno, tak zjistíte, že jsem reagoval na "Tak zrovna mikroblik ma zasadni potize a prenositelnosti konfigurace". Přidáním mého "Nikdy jsem s tím neměl problémy" jsem chtěl jen zanést nejistotu do sdělení původního autora, který nám napsal, že během aktualizací dochází na "zasadni potize a prenositelnosti konfigurace". Nenapsal jsem "K problémům nikdy nedochází" ani jsem nenapsal "aktualizace jsou 100% bezproblémové". Jde jen o pravděpodobnost a na základě mých zkušeností je ta šance, že se něco stane zrovna v prostředí, o kterém je tu řeč, minimální a nestojí za to, abychom tu měli miliony nezáplatovaných zařízení.
Tohle je přesně ten přístup, který ten problém živí. "Já tu aktualizaci pustím raději ručně, co kdyby se něco stalo". Pak se z toho stane "Teď se mi nechce, je pátek, pustím je příští týden" a nakonec se dostaneme do bodu "Už jsem chvíli neaktualizoval a mezitím vyšla spousta nových verzí, co kdyby to něco rozbilo, radši to nechám.".
Pak není divu, že DigitalOcean už úplně vzdal problém se SMTP blacklisty, že se kdejaká velká firma nechá okrást ransomwarem a nebo že občas uteče pár milionů uživatelských účtů. Pokud proces není automatizovaný, tedy jak samotný upgrade, tak jeho testování, tak to je jak kdyby žádný proces nebyl.
-
Dodává OpenWRT i odladeny HW s certifikacemi a školením? Kdo mi dá hlavu na špalek a spojí mne se živým člověkem když dojde k potížím?
Kdo mi ručí za certifikaci rádia?Mám pocit že tady se bavíme jeden o voze a druhý o koze. Ano fakt to člověka zajímá i pro SOHO pokud to další den blokuje tisícovku zakošů( případ malého ISP) kde ty zařízení jsou ve správě v rámci služby/jsou před předávací rozhraním.
24. 9. 2021, 12:15 editováno autorem komentáře
-
K openwrt mate zoznam zariadeni ktore s nim boli otestovane, vratane stavu ako to na nom bezi. Rovnako aj ddwrt (openwrt na malych krabickach moc nebezi).
Skoleni pre linux a ohladne sietovania mate dost. Tie mate naviac kvalitnejsie, tam nabifleny tajtrlik v roli prednasajuceho neuspeje. Ale IMHO ak potrebuje senior ajtak k sietovaniu na linuxe skolenie, tak by som ho radsej nepustal ani k widlam.
-
To, že existujú zariadenia na ktorých bol openwrt nejako otestovaný neznamená, že existuje podpora od výrobcu. A keď aj existuje, že vyrieši problém.
Napríklad taký Turris Mox sa nevie ani reštartovať. Je to problém, ktorý sa rieši už druhým rokom, stále nie je vyriešený a pritom je to jedno z mála openwrt zariadení, ktoré by malo mať podporu výrobcu.
Takže keď takéto niečo niekde nasadíte a po nejakom čase vám používatelia volajú, že nejde wifi (automaticky stiahol update, nainštaloval, skúsil reštart, vytuhol), čo spravíte? Vymeníte za nejaký mikrotik/ubnt/ruckus/atď.
-
Otestovany ako kazdy iny opensource. Ak to nefunguje tak sa im k tomu modelu namnozia issues. Ak su vyriesene, tak je predpoklad ze to zariadenie ma plnu podporu.
Toris OS je fork openwrt. Nechce sa mi hladat(som na mt), ale je nozne ze najdete build openwrt, ktory chodi na turise v pohode...
Nepredpokladam ze update by rozbilo wifi. Update openwrt ide normalne cez repozitar. Image si stiahnete iba pri prvej instalacii.
Openwrt nie je moc urcene k tomu ze to budete predavat zakaznikom, je to opensource.
-
Senior ajtak fakt nechce řešit které síťové patche tam zrovna jsou a co je rozbité a jak specificky je to do openwrt zadratovane. Jak je udelany UCI. Openwrt je specialni orezany distro. A linux není distro. Je to jen kernel.
Nemůžu vzít člověka který dělá rhel a Cisco a posadit ho před to s tim že do zítra hotovo. Rozjede na tom bgp, vpn, wpa2 enterprise, radius klienta etc.
Já si obvykle zdrojaky kernelu před updatem taky nečtu. Často ani jejich rozsáhlý changelog - to je starost IBM, oracle,hp či kyho slaka už...
Až se budete starat o rozsáhlou infrastrukturu pochopíte že i školení o tom jak věci nedělat nebo best practices dávají smysl. A typicky školení ve velké firmě sám dělat nechcete.Technik pokud nemá okno má vzdělávání obvykle má nejméně času a přes den nestíhá.
26. 9. 2021, 03:25 editováno autorem komentáře
-
Autoupdate vypínám, pokud to zařízení mám "pod kontrolou" - má to příliš vtíravou tendenci updatovat v ten nejméně vhodný okamžik a memám rád, když mi v noci uprostřed důležité práce upadne linka pod rukama a odmítá se vzpamatovat.
(A teď mne tu omluvte - dva mé routery se dožadují updtu firmware, tak se jim jdu na chvíli věnovat.)
