как узнать модель микротика через winbox
Подключение к Микротику через Winbox
Хочу разобрать, казалось бы банальную тему использования стандартной программы для управления роутерами. Речь пойдет об использовании утилиты Winbox для подключения, управления и настройки роутеров Mikrotik. Несмотря на то, что простой доступ через Winbox не требует каких-то особых настроек, тем не менее с работой этой утилиты есть много нюансов.
Данная статья является частью единого цикла статьей про Mikrotik.
Введение
И все это доступно во всей линейке оборудования, даже в самых бюджетных моделях. Вам известно что-то подобное у других производителей в ценовой категории 50-150$? Мне лично нет, но тут я могу заблуждаться. Если у каких-то вендоров есть что-то похожее на Winbox, было бы любопытно узнать об этом.
Где скачать Winbox
Делаю на этом акцент, потому что одно время при поиске утилиты в поисковиках на первом месте были другие сайты. Кто-то подсуетился и сделал отдельные сайты под этот поисковой запрос. В итоге они были выше основного сайта вендора. Сейчас это уже пофиксили, но вот подобные примеры.
Так же напоминаю, что сайт mikrotik.ru к самой компании Микротик не имеет никакого отношения. Им просто удалось зарегистрировать этот домен и открыть на нем магазин оборудования. Причем продают они устройства разных вендоров. Часто этот сайт очень хорошо ранжируется и может вводить в заблуждение относительно его принадлежности к латвийской компании.
Отдельно добавлю, что версии winbox на русском языке не существует. Как и не существует интерфейса управления в ней с русским языком. И это очень хорошо, так как не происходит недопонимания и двойственности в трактовании и переводе одних и тех же настроек. Англоязычное it сообщество намного больше русскоязычного, поэтому удобнее искать что-то сразу на английском языке. Больше шансов найти информацию.
Winbox для MacOS и Linux
Это может показаться удивительным, но нативного приложения Winbox под Mac или Linux просто не существует. Я не разбираюсь в портировании программного обеспечения в другие операционные системы, поэтому не могу судить, почему дело обстоит именно так. Возможно есть какие-то объективные причины того, почему разработчики Mikrotik не выпускают отдельную версию winbox под Linux или Mac.
Так что у вас не очень много вариантов работы с winbox, если ваша OS не Windows:
Для запуска winbox в linux придется сначала установить wine, а затем запустить виндовую утилиту через нее. Каких-то особых заморочек с этим нет. Все работает сразу без дополнительных настроек. Главное wine поставить. В Ubuntu:
В Centos надо подключить репозиторий epel:
Как подключиться к Mikrotik через Winbox
Итак, утилиту мы скачали. Теперь рассмотрим варианты подключения к Mikrotik через Winbox. Тут проявляется еще одна очень полезная фишка микротиков. Если ты находишься с ним в одном широковещательном домене, то можно подключиться напрямую, используя mac адрес. Поясню для тех, кто не очень разбирается в теории сетей, о чем тут идет речь.
Расскажу по-простому. Единый широковещательный домен это как-будто вы подключены к микротику через общий свитч. Ваше соединение с ним осуществляется на канальном, втором уровне модели OSI. То есть вам не нужно ничего знать про ip адреса друг друга. Вы можете найти друг друга широковещательным запросом, а свитч вас соединит.
Такая возможность часто спасает, когда вы ошиблись в каких-то настройках ip адреса, или на фаерволе случайно закрыли себе доступ. Вы можете обойти ошибки на уровне ip, подключившись напрямую по mac адресу. Выглядит это следующим образом:
С помощью широковещательного запроса winbox обнаружил все доступные устройства Mikrotik в своем сегменте сети и получил возможность подключиться напрямую по mac адресу. Сразу скажу, что такое соединение менее стабильно, чем по ip. Вытекает это из особенностей протоколов подключения.
При подключении по IP адресу с помощью протокола TCP, осуществляется проверка целостности пакетов и подтверждение их доставки. При подключении по MAC этого не происходит, поэтому подключение менее стабильно. Это объясняет, почему во время подключения по mac часто происходит обрыв соединения и отключение от устройства. В общем случае лучше подключаться по ip адресу.
Когда мне приходилось удаленно настраивать Микротики, я всегда старался оставить себе возможность подключиться к устройству напрямую по mac. Понятно, что это не всегда получится и не всегда спасет, если ты по ошибке отключишь интернет. Но если была возможность подстраховаться, я ее использовал.
Если здесь отключить службу winbox, подключение через эту утилиту будет невозможно.
Доступ к Микротик из интернета
Иногда нужно настроить доступ к микротику снаружи, то бишь через незащищенное соединение по интернету. Без крайней необходимости я не рекомендую этого делать. Уже не раз в routeros находили уязвимости, в результате чего удаленное подключение к Mikrotik оказывалось огромной дырой в безопасности. В конечном счете это приводило к заражению устройства и использование его в качестве участника ботнета или открытого прокси сервера.
Для подключения к Mikrotik по умолчанию Winbox использует TCP PORT 8291. Соответственно, для доступа снаружи, вам необходимо открыть этот порт на Firewall. Я в обязательном порядке рекомендую защитить подобное соединение одним из двух предложенных мной в отдельных статьях способов:
Запретить доступ по Winbox
Рассмотрим теперь, как нам запретить подключение к микротику через winbox. Для начала запретим доступ по MAC адресу. Делайте это аккуратно, так как не настроив ip адрес и запретив доступ по mac, вы не оставите себе никакой возможности управлять роутером. Ему придется сбрасывать настройки.
Здесь вы можете выбрать списки интерфейсов, с которых разрешено подключение по MAC. Чтобы его запретить, надо выбрать none.
После этого подключиться по mac адресу с помощью winbox будет невозможно.
Собственные списки интерфейсов можно создать в разделе Interfaces, вкладка Interface List.
После этого устройство не даст себя обнаруживать в локальной сети. С запретом доступа по MAC разобрались, теперь запретим и все остальные подключения. Для этого есть 2 способа:
В первом случае отключаем службу.
Во втором добавляем правило в firewall.
Подробнее про настройку firewall читайте отдельную статью. Здесь не буду на этом останавливаться.
На этом по запрету доступа через Winbox все. Рассмотрел все возможные варианты блокировки подключения.
Почему winbox не видит Mikrotik по mac
И еще одну проблему знаю, когда никак не получалось подключиться к одному очень старому микротику. Как оказалось, для него нужно было скачать какую-то старую версию winbox. И только через эту версию по mac адресу, введя его вручную, можно было подключиться к устройству.
Шифрование сохраненных паролей
По умолчанию, Winbox все свои настройки, в том числе пароли доступа, хранит в открытом виде в директории C:\Users\user\AppData\Roaming\Mikrotik\Winbox. Очевидно, что это очень плохо, так как завладев этими файлами, можно получить доступ ко всем устройствам, которые находятся в списке подключений. Достаточно просто скопировать содержимое директории winbox на другой компьютер, запустить утилиту и подключиться по любому соединению с сохраненным паролем.
Для того, чтобы защитить свои сохраненные пароли, используйте шифрование. Для этого нажимайте кнопку Set Master Password на главном экране Winbox и указывайте пароль.
После этого доступа к сохраненным паролям не будет без введения Master Password, так что можно не бояться за сохранность файлов winbox в профиле пользователя. Я очень долгое время не задумывался о сохранности паролей, пока мне один знакомый не показал, как легко и просто забрать все мои сессии и получить доступ к устройствам.
Так что я настоятельно рекомендую всегда использовать Master Password и делать его длинным. Современные майнинговые фермы с кучей видеокарт сильно упрощают brute force не очень сложных паролей.
Заключение
Я постарался разобрать все известные мне нюансы подключения к Mikrotik по Winbox. Некоторые вещи я вообще не знал и не задумывал о них долгое время работы с устройствами. Например, только недавно я разобрал тему с подключением по mac. Узнал, как им управлять, ограничивать, запрещать и т.д. До этого просто не обращал на это внимание и оставлял все по дефолту.
Про шифрование рассказал все в статье. Долго им не пользовался, но последние несколько лет в обязательно порядке устанавливаю Master Password, либо просто не сохраняю пароли в winbox, храня их в keepass. Если я забыл что-то важное или в чем-то ошибся, жду замечаний в комментариях.
Мой MikroTik – моя цифровая крепость (часть 1)
1. Введение
В комментариях опубликованной ранее статьи один из пользователей спросил: «А можно добавить раздел про то, как нужно защитить свой, микротик чтобы управление им не ушло на сторону?». Один из пользователей написал на это следующее: «Универсальных принципов для любого сетевого устройства два – администрирование только с внутреннего интерфейса (снаружи закрыто все) и регулярно обновлять прошивку» (сохранена авторская орфография). А мы сразу поняли, что одним коротким ответом здесь не обойтись, и этот вопрос заслуживает полноценного отдельного рассмотрения с учётом широких возможностей операционной системы RouterOS, а также сопрягаемых с ней opensource решений, комплексно завершающих проблемный вопрос информационной безопасности. Кроме непосредственно настройки безопасности доступа до маршрутизатора, необходимо использовать его как полноценный барьер для разноуровневых атак, которые могут быть нацелены на защищаемую сеть. Технологий реализации этого достаточно много, поэтому разделим применяемые возможности на логические уровни и представим предметные рекомендации по администрированию сетей на базе оборудования MikroTik.
2. Общие рекомендации
Первое, что мы всегда делаем с железкой — это обновляем прошивку:
Далее смотрим, сколько создано пользователей, лишних удаляем. Ставим пароли, соответствующие политике информационной безопасности компании, если такая есть, если нет, тогда просто посильнее:
Если паранойя зашкаливает, тогда используем SSH вход без ввода пароля (и пользователя admin можно заменить на другого). Сгенерим пару RSA ключей, размер укажем 4096 бит, что уж мелочиться:
На выходе будет закрытый ключ test_user:
И открытый ключ test_user.pub:
Привяжем открытый ключ к пользователю RouterOS:
Добавляем хардкор, запретив логиниться по паролю:
Важно отметить, что если есть пользователь, для которого не импортирован публичный ключ, то, несмотря на вышепоказанную настройку, RouterOS сохраняет возможность логиниться под ним с помощью пароля. С учётными записями разобрались, далее выключаем серверы различных протоколов управления, в том числе небезопасные, разумеется, есть ли они вам не нужны:
Можно поменять прослушиваемый порт для SSH сервера. Особенно на значение, не входящее в сканируемые по умолчанию nmap-ом, но мы в этом защиты не видим, скорее маскировка:
Сканируем роутер и видим, что всё работает корректно. Сервер SSH будет недоступен, пока на роутер не пройдут попытки установления соединения на 28 порт, затем в течение 30 секунд на 29 порт, затем в течение 30 секунд на 30 порт. Если последовательность обращений верна и временные лимиты соблюдены, то IP адрес источника сможет в течение 30 секунд установить SSH сессию, а иначе drop:
Необходимо отметить, что если вы укажете порты стука примерно в таком порядке: 21, 80, 443, а прослушиваемый SSH порт перенесете на значение 8080 (все четыре входят в список по умолчанию для сканирования nmap), то ваш секретный порт 8080 определится при первом же сканировании. Если вы действительно хотите использовать технологию port knocking, то выбирайте порты в порядке уменьшения, а сами значения портов на «не сканируемые» nmap-ом: ни в режиме top 100, ни в режиме top 1000. Кроме этого, можно ограничить IP адреса, с которых доступны протоколы управления, на диапазон доверенных:
Таким образом, несмотря на то, что 22 порт готов принимать TCP соединение, однако с не доверенных IP адресов оно будет сброшено SSH сервером:
Как общие рекомендации, лучше не использовать протоколы, не имеющие шифрования для передачи защищаемой информации. Если такой возможности нет, тогда старайтесь пускать трафик по шифрованным VPN туннелям. Но лучше даже внутри таких соединений использовать безопасные протоколы, ведь VPN сеть может уходить далеко за пределы периметра, контролируемого вами. Если есть возможность, не используйте протоколы pap, http (в том числе при реализации API), ftp, smtp и т.д. Всегда используйте их безопасные аналоги: chap, mschap2, https, smtps.
Делайте регулярные резервные копии конфигураций ваших устройств. В RouterOS есть два типа backup: бинарный *.backup
и текстовый конфигурационный файл *.rsc
Первый рекомендуется откатывать только на полностью идентичных устройствах, и не подлежит редактированию (при откате восстанавливается точный образ операционной системы). Второй же, наоборот, можно вручную контролируемо построчно обрабатывать (до получения необходимо результата), однако он может содержать чувствительную информацию (если не делать /export hide-sensitive), поэтому рекомендуем обезопасить хранение такого рода backup файлов. Ставить ли регулярный backup в планировщик заданий, или нет, тут уже каждый решает сам. Главное — не запутаться во всех резервных копиях и не передавать их на удалённый сервер по открытому интернет каналу посредством ftp.
3. Защита L1
Писать правила про установку сетевого оборудования в серверных помещениях, в защищённых телекоммуникационных ящиках, сейфах и т.д. мы не будем, это не тема статьи. Для защиты L1 на оборудовании MikroTik будет достаточно программно отключить не используемые сетевые интерфейсы:
Сюда же пойдёт организация безопасности беспроводных соединений. В идеале, конечно, следует настроить WPA2-Enterprise (подробно о настройке RADIUS сервера мы напишем во второй части статьи), так как реальных угроз безопасности таких сетей пока не известно:
Если такой вариант вам не подходит, тогда используйте WPA2-PSK со словарно неподбираемым паролем, который держите в тайне от третьих лиц, и отключённый PMKID:
Ещё можно запретить подключаться к точке доступа с низким уровнем сигнала, т.е. физически удалённым пользователям, которые, можно предположить, находятся за контролируемым периметром и не легитимны:
На этом свои рекомендации по поводу L1 безопасности остановим и перейдём к более интересным вещам.
4. Защита L2
Для начала ограничим работающие сервисы уровня L2:
Первый скрипт позволяет осуществлять mac-ping только для внутренней сети. Второй ограничивает L2 подключение посредством службы Winbox:
RouterOS поддерживает работу таких протоколов, как CDP, LLDP и MNDP. Чтобы не осуществлять широковещательную рассылку пакетов указанных протоколов во все стороны, ограничиваем их работу:
Чтобы со стороны провайдера не догадывались, что у вас стоит роутер MikroTik, можно сменить MAC адрес WAN интерфейса, но это скорее баловство:
Если в вашем L2 сегменте появится второй или более незаконный DHCP сервер, то это может здорово навредить работе всей сети. Так в примере видно, что работают две указанные службы (192.168.1.1 и 192.168.3.1), раздавая по факту разные сетевые настройки:
Для защиты от такого рода атак (ведь хакер может назначить и своё устройство в качестве шлюза) существует технология «DHCP snooping». После её активации бридж пропускает DHCP пакеты только в доверенную сторону:
Защита оконечных устройств выходит за рамки данной статьи, но декларируем, что многие антивирусы справляются с этой задачей, детектируя манипуляции с ARP пакетами. На скрине видно, что действиями выше мы организовали MITM для хоста 192.168.1.3 и перехватили его HTTP запросы:
В следующем примере показаны ложные записи ARP таблицы маршрутизатора, а ведь так намеренно можно заполнить весь имеющейся пул и втупить работу легитимного DHCP сервера:
Для защиты от таких действий в RouterOS необходимо, первым делом, настроить DHCP сервер, что позволит активировать функцию заполнения ARP таблицы, либо в результате его работы, либо в ручном режиме:
После этого настраиваем бридж, переводя маршрутизатор в режим только ответа на ARP запросы (если у вас работает hotspot, то от этой идеи придётся отказаться, так как он перестанет нормально функционировать), таким образом, сторонние манипуляции будут бессильны:
Дополнительно следует выключить режим обучения портов MAC адресам:
Если ваш маршрутизатор гоняет пакеты для логически разделённых сетей, в том числе с точки зрения безопасности, то их следует разнести по различным VLAN. Важно понимать, что если через ваше устройство проходят несколько VLAN, то в случае несанкционированного доступа к роутеру или коммутатору, могут быть скомпрометированы устройства во всех этих подсетях. Здесь всё понятно. Дополнительно можно указать устройству проверять tag трафика и дропать пакеты, у которых VLAN ID не найден в его таблице VLAN:
5. Заключение
На этой админской ноте прервём наши рассуждения, которые отображают подходы, применяемые нами в построении реальных сетей и обеспечении их информационной безопасности. Никакие ноухау статья не раскрывает, но в определённой мере систематизирует имеющиеся возможности и показывает их практическое применение. Дальше будет интереснее…
Все модели оборудования Mikrotik имеют свой индивидуальный код — Product Code.
Product Code — призван не только отличать одну модель от другой, но и является источником информации о технических особенностях устройства.
В каждой букве зашифрована та или иная характеристика.
Зная, что значат составляющие маркировки, можно получить основную информацию по устройству, не смотря описание и спецификации оборудования.
Каждая модель имеет буквенный префикс, который указывает на линейку оборудования.
У производителя есть три основные линейки:
Cloud Core Router (CCR) — линейка высокопроизводительных маршрутизаторов;
Cloud Router Switch (CRS) — линейка коммутаторов;
RouterBOARD (RB) — линейка маршрутизаторов.
Каждая из серий имеет свои особенности маркировки. Рассмотрим каждую линейку отдельно.
Начнем с линейки маршрутизаторов RouterBOARD.
ОСОБЕННОСТИ МАРКИРОВКИ MIKROTIK ROUTERBOARD
Для примера рассмотрим модель маршрутизатора RB951Ui-2HnD.
Первая цифра обозначает серию устройств. В линейке RouterBOARD существуют такие серии: RB100, RB250, RB300, RB400, RB500, RB700, RB800, RB900, RB1000, RB2011, RB3011.
Вторая цифра указывает на количество портов (Ethernet, SFP, SFP+).
0 — радиомодуль отсутствует;
1 — один радиомодуль;
После цифр иногда идут символы, которые указывают на дополнительные особенности устройства.
A — расширенная память в устройстве;
xN- число ядер (N) процессора для многоядерных моделей (например, x2).
Через дефис идет маркировка особенностей радиомодуля (характеристики передачи беспроводного сигнала).
Порядок расшифровки: наличие режима точки доступа-диапазон-мощность-протокол-число цепей-тип разъёма.
РАССМОТРИМ ОБОЗНАЧЕНИЯ КАЖДОЙ ХАРАКТЕРИСТИКИ ОТДЕЛЬНО:
А — устройство может работать в режиме точки доступа;
52 — 2.4 ГГц и 5 ГГц;
H — повышенная мощность радиокарты,
HP — высокая мощность радиокарты,
отсутствует — поддержка стандартов 802.11a/b/g/n,
поддержка стандарта 802.11n,
поддержка стандарта 802.11ac;
отсутствует — одна цепь (SISO),
D — dual chain (MIMO 2×2),
T — triple chain (MIMO 3×3);
отсутствует — для модели доступен только один вариант разъёма,
В КОНЦЕ КОДА ПРОДУКТА ИДУТ ОСОБЕННОСТИ СТРОЕНИЯ УСТРОЙСТВА:
ЛОГИКА РАСШИФРОВКИ МАРКИРОВКИ МОДЕЛЕЙ CLOUD CORE ROUTER
Для наглядности возьмем модель CCR1036-12G-4S-EM.
— CCR — наименование линейки высокопроизводительных маршрутизаторов Cloud Core Router.
ДАЛЕЕ ИДЕТ ЧЕТЫРЕХЗНАЧНЫЙ ИНДЕКС:
первые две цифры — серия устройства;
последние две — количество ядер процессора.
В нашем примере — 36 ядер.
ДАЛЕЕ — ПЕРЕЧИСЛЕНИЕ ПОРТОВ:
В КОНЦЕ МАРКИРОВКИ УКАЗАНЫ ОСОБЕННОСТИ СТРОЕНИЯ УСТРОЙСТВА:
В нашем примере маршрутизатор имеет увеличенный объем ОЗУ.
РАСШИФРОВКА МАРКИРОВКИ МОДЕЛЕЙ CLOUD CORE SWITCH
Например, модель коммутатора CRS125-24G-1S-2HnD-IN.
— CCS — наименование линейки высокопроизводительных коммутаторов Cloud Core Switch.
ДАЛЕЕ ИНДЕКС ИЗ 3 ЦИФР:
первая — серия устройства;
последние две — сумма всех портов коммутатора.
В нашем примере — суммарное количество портов — 25.
Некоторые модели коммутаторов линейки CCS имеют встроенный радиомодуль. Маркировка расшифровуется также как и в устройствах серии RouterBOARD.
В конце маркировки указаны особенности строения устройства — аналогично устройствам RouterBOARD.
CRS125-24G-1S-2HnD-IN предназначен для внутреннего применения.
Надеюсь, что с помощью подготовленной информации вы с легкостью сможете подобрать для себя нужную модель.
Дубликаты не найдены
Отличное оборудование) уже не первый год используем
Отличное, пока не нужно что-то кроме Soho-роутера.
Клаудхрень со своим дофигаядерником сдыхает на терминации VPN моментально, например. При том, что обычный ПК с многопортовыми сетевухами (при цене в два раза меньше) с той же RouterOS нормально и роутит, и рулит впнами.
Про отсутствие недорогого аналога 951, но с гигабитными портами, внешними антеннами/хотя бы дырками для их подключения (без залезания внутрь и пайки) и 5GHz вайфаем промолчу.
Там есть PoE-out. Его тип и вольтаж смотрите в документации.
Да я уже разобрался )
Бесплатный сыр или как я лоханулся(но это не точно)
Естественно без рейтинга. Поднимите в топ, пожалуйста.
Пару лет являемся клиентами интернет-провайдера»Дом.ру(не реклама), в Рязани. Интернет не сверхбыстрый, ну вроде работает. И вот в конце августа звонок, предложение невиданной щедрости от провайдера-бесплатная тв-приставка, которая делает из обычного телевизора-смарт(интернет, Ютуб и всё такое). Сказал,что подумаю, тем более один телевизор уже смарт, второй обычный. Настойчивые предложения продолжали поступать (типа абсолютно бесплатно, удобно и так далее). На мой вопрос, а вам это зачем? Какая выгода? Отвечали уклончиво. Менеджмент, будете рекомендовать нас всем. Ну я и согласился, ещё раз уточнив,что всё абсолютно бесплатно.
И вот день Х. Весёлый, разговорчивый мастер, устанавливает приставку(предварительно спросил-бесплатно? Да!). Приставка настроена в детской, интернет, Ютуб, Хром-всё работает. Антенный кабель не нужен, всё через вай-фай. Вроде без подводных камней. Документы подписаны. Перед выходом, мастер немного притормозил и раскрыл тайну. Оказалось, что приставка вовсе не бесплатная. Её стоимость вычитается из платы за тариф(сумма не изменилась), по 150р в месяц, на три года. На мой вопрос, и в чём смысл? Он ответил,что дом.ру привязывает клиентов таким образом. При расторжении договора, в течении этих трёх лет-деньги за приставку выплачиваются в полном размере.
Вот такая хитрость от дом.ру. Возможно кому-то поможет от навязываемых услуг. Спасибо за внимание.
Самореализация
В связи с упавшим интернетом вновь зашёл в настройки роутера и увидел неиссякаемые его возможности.
Связь
На дворе развитие цивилизации, то да сё, улучшающее и убыстряющее, а в моей квартире третьи сутки допотопное подключение к интернету: USB кабели между мобильниками и компьютерами. Да, и так бывает.
А всё потому, что прошлой ночью какие-то редиски проникли на технический этаж здания, то бишь чердак, после чего там не оказалось некоторой части оборудования моего провайдера. Вот как бывает на просторах нашей необъятной родины. Но об этом я конечно ещё не знал, когда звонил в службу технической поддержки с намерением заявить о проблемах связи. Там заявку охотно приняли, пообещали всё быстро починить и всячески мне посочувствовали.
Вот тогда супруга позвонила в домоуправление и мы узнали об акте вредительства. Взломан вход на чердак, обрезаны кабели, открыты боксы с оборудованием, из которых пропали приборы (коммутаторы или маршрутизаторы, в таких тонкостях не силён). Приезжали полицейские, ищутся свидетели, обещаются найтись виновные. Что любопытно и подозрительно, резко активировались конкуренты провайдера: весь наш дом вдруг стал увешан рекламой с предложениями подключений на выгодных условиях.
Эх, ладно, пришлось всё это принять как неизбежное зло, и смириться с временной деградацией до 3G технологии. Вот же блин, как всё непривычно медленно крутится и загружается! Чтоб этих гадов изжога затоптала, аминь.
PS: имя провайдера не скажу, так как в целом им доволен, а такая проблема впервые за шесть лет сотрудничества.
Ответ на пост «Секретное постановление Правительства»
Лет 8 назад у нас на предприятии был двух мегабитный интернет за 1 рубль за 1 скаченный мегабайт. По расходам выходило тогда ещё около 50 тысяч в месяц. В принципе руководство это устраивало. Закончилось все после откровенной наглой попытки заработать на нас в конце года, или баланс не сходился, или же кому то хотелость годовую премию за счёт нас получить, но за январь месяц нам выставили как сейчас помню 108 тысяч, и это при том что завод считай работал пол месяца. По статистике с сервера выходило чуть больше 30 тысяч, по статистике у провайдера 108 тысяч. Руководство приняло решение менять провайдера. И тут на наш запрос отвечает новый провайдер города, предлагая за 10 тысяч в месяц безлимит в 5 мбит. Не знаю откуда наш старый провайдер об этом узнал, но примчался их директор и предложил за 10 тысяч безлимит аж 10 мбит, озвучивая новое предложение у нового провайдера в обратку получаем предложение 20 мбит за 10 тысяч, ставки росли. Впрочем старый провайдер слился обещая нам постоянные проблемы со связью. Вот на таком примере я познал в первый раз в жизни игры крупных монополистов.
P. S. Исправил цену, 1 рубль за мегабайт. Ошибся таки.
Всё что вы хотели знать о своем провайдере, но боялись спросить
— это обычно не большая комнатушка оборудованная на чердаке, где расположен сервер доступа, и большой управляемый свич. От которого в свою очередь убегают 1 ггбитные (ну или на новых трассах уже 10ггб) линки на дома. На каждом доме тоже установлен свич, с которого уже расходятся абонентские линки.
— каждая узловая станция обслуживает до 3..4 тысяч абонентов.
— задача сервера – в основном, пропустить через себя магистральный канал, авторизовать по любой из используемой провайдером технологии пользователя, ограничить его скорость и количество TCP соединений на пользователя.
— чаще всего провайдер закупает внешний канал с расчетом 1 мбит/сек на абонента. Т.е. если в вашей деревне 2000 пользователей, то к вам в деревню выкупается общий канал 2ГГБ. Так как не все пользователи на 100% загружают свой канал (а много ли нужно чтоб открыть страничку и читать), этого обычно хватает.
— если вы используете протокол https, то провайдер может посмотреть КУДА вы «ходите», но что вы смотрите/читаете он посмотреть не может
— провайдер по запросу полиции обязан выдавать паспортные данные, баланс, ФИО и на какие сайты абонент заходил в определенные промежутки времени. Чаще всего это происходит просто «по звонку» или «по письму на электронку». Никаких судебных запросов обычно не делается.
— обычно создается линейка со скоростями и стоимостями в прямой зависимости от наличия конкурентов в местности где предоставляется услуга и общей скоростью и стоимостью купленного магистрального канала.
— не стесняйтесь звонить и просить переключить на более выгодный тариф. Особенно если у вас в доме есть конкуренты с сопоставимыми ценами. Чаще всего для таких абонентов есть «спец тарифы»
— обычно две линии. На первой отсекаются вопросы которые может решить специалист просто посмотрев в биллинг или посоветовав перезагрузить роутер. На второй линии обычно сидит технический специалист, который сможет посмотреть состояние порта, перезагрузить удаленно домовой свич и т.д. Чаще всего есть и не официальная «третья линия», где вопросы решает уже системный инженер. Который и на сервер вашего узла залезет, и DHCP/Radius/mpd перезапустит, и влан обратно поднимет если вдруг пропал.
— и да, чаще всего в том что «нет интернета» ненавязчиво обвинят самого абонента. Ибо, лицо нужно держать. Даже если параллельно как ты заставил перезагрузить абонента роутер, ты перезагружаешь и домовой свич по питанию 😉
— звонки и история обращений пишутся. «Черные метки – неадекватный абонент, задрот, истеричка и т.п.» ставятся 😉
Вообще обычно чем меньше провайдер, тем его абоненты более счастливы. Провайдер любит своих абонентов, и не хочет отдавать их всяким монстрам типа Ростелекома. Которые при желании могу задавить ценой любого местечкового. Поэтому любите местечковых провайдеров, никуда от них не бегите, иначе будет совсем жопа с этими монополистами..