Comments 67
Учитывая проблемы обновления MikroTik
У MikroTik нет проблем с обновлением. Проблемы у тех, кто не ставит обновления.
На сайте да, есть последняя прошивка. Но в на моем 2011 в винбоксе версия 6.49.2 stable последняя отображается. 7.1 только в тестинг и девелопмент есть.
ветку с 6-й версией пока поддерживают
Чтобы перейти на 7-ю, нужно выбрать канал "upgrade"
На прошлой неделе без проблем обновил весь свой парк на 7.1 - часть переведя на upgrade-ветку и установив последнюю версию через cli, и часть просто скинув последнюю версию в файлы через winbox.
Меня, правда, в этой версии больше интересовал wireguard, а не обновления ос. К слову, всё прекрасно работает :)
Они допилили в 7й версии уже CapsMAN? Без него мигрировать будет грустновато.
А в планах хоть есть? Очень не хочется терять такую возможность (относительно) бесшовного переключения.
В релизе сказано
proper Wave 2 wireless drivers are coming soon!
терять такую возможность (относительно) бесшовного переключения.
CapsMAN - это ни разу не бесшовность, это просто крутилка для AP (ну и туннелирование трафика, но то такое, производительней разруливать тарфик локально). Все тоже самое и с таким же результатом можно настроить ручками. Тем более, если AP всего то несколько штучек, то проще настроить ручками, в профите будет большая устойчивость и автономность.
Так а Wave 1 драйвера остались для существующего железа? Если я небольшую сетку с CapsMAN обновлю до 7.1 то WiFi слетит? Или будет как раньше работать?
Я тоже обновился и перестал ходить трафик внутри ipsec туннеля. Откатился обратно.
А ospf работает ?
На бете не взлетело
У MikroTik нет проблем с обновлением.
Чтобы реализовать автоматическое обновление на Микротике, мне пришлось писать два скрипта (один для RouterOS, другой для firmware). Вместо того, чтобы поставить одну галку в настройках (которая, в идеале, должна стоять по умолчанию, вот тогда можно говорить, что проблем с обновлением нет).
Основная масса устройств этого ценового сегмента один раз ставится приглашённым специалистом, а потом конечный пользователь вообще не в курсе, что существуют какие-то RouterOS, прошивки, обновления...
К сожалению, авторы микротика переложили обновление на плечи пользователей, хотя могли сделать механизм экстренного закрытия уязвимостей даже независимо от обновлений.
Ага, а когда после такого автоматического обновления поломается ван или впн на устройстве за 1000км, будет весело. Пока сейфмод не будет распространяться в т.ч. на обновления прошивки, нафиг надо.
Зависит от устройства. На части устройств с достаточным количеством флеша можно создать раздел с копией текущей версии софта и конфига. И указать, что при проблемах обновления нужно перезагрузиться с него.
https://wiki.mikrotik.com/wiki/Manual:Partitions
Вангую, что большая доля взломанных хостов - это железки уровня аля RB951/RB952 (в силу специфики настроенных либо quickset'ом, либо как попало по странным "манам" с интернетов). А с флешем там проблема, 16мб и ее так впритык.
Красивым решением был бы дуалбут с двумя флехами и переключением master/slave, но тут есть другой риск - после апдейта может отвалиться какой нибудь тоннель на железке, стоящей в #опе мира и указать что нужно загрузиться со слейва будет некому.
У 951, кстати, 64МБ флеш-памяти. Но с устройствами с 16мб флеша действительно мало что можно сделать.
Ну и если с качеством теплоизоляции вашей бороды может сравниться только ваш свитер, то указание на загрузку со слейва делается достаточно легко через планировщик. Ставится задача с триггером "15 минут после загрузки ОС" на перезагрузку с резервной копии и если всё хорошо — вы после обновления её просто отключаете. Если вы её не можете отключить (отвалился тоннель/интернет/ещё что), то эта задача сама перезагрузит на старый конфиг и софт.
У 951, кстати, 64МБ флеш-памяти
Соглашусь, но частично. На старых микротиках стоит NAND, там 64/128. Новые, тот же HAP (RB951Ui-2nD), еще добавлю RB931/RB941 - обычная флеха на 16Mb со всеми вытекающими.
С триггером идея замечательная, но если под рукой есть дуалбут (на случай, если что-то пошло не так в процессе самой прошивки). А пока по-старинке, опция "удаленные руки + netinstall" и выкатывание релиза на стенде.
RB951Ui-2HnD. Storage size 128 MB. Ух ты, у них две версии этой модели есть. С 16 и с 128 мегабайтами памяти. Полностью согласен. Особенно обидно, когда буква H обычно означающая мощность сигнала, означает значительно худшее железо в итоге.
Но в целом, на 16mb память была у совсем простых бытовых моделей (и у hap ac). Ну и у точек доступа. HAP ac3 уже опять с нормальным количеством памяти идёт.
Тестовый стенд это в любом случае не отменяет.
Пардон, а с другими сохо роутерами ситуация иная? Нет, не иная, а иногда даже и хуже - обновлений не предусмотрено вовсе после некоторого непродолжительного периода поддержки.
У MikroTik нет проблем с обновлением.
Вы пробовали обновлять устройства с 16mb памяти? Например, вполне неплохой hAP AC²? На 7.1 можно перейти только через netinstall, потому что памяти мало. Я уж молчу про ультра-дешёвые RB931/RB941
6.48.5 очень уверенно окирпичивала RB951ui-2HnD при обновлении с практически любой прошивки, хоть с 6.47.9 хоть с 6.40.хх и 6.42.хх. 3 маршрутизатора подряд, благо они были в руках, а не на объектах чёрти-где.
Это только то, с чем я столкнулся в последний месяц. И я не считаю это отсутствием проблем с обновлениями.
Я перешел на ас^2 через встроенный обновлятор. Чяднт?
У Микротика была пара обновлений, которая плохо вписывалась в 16мб, но они это давно поправили.
На 7.1 ещё не переходил, но 931 и пара hap ac2 в моей практике обновлялись вполне нормально за последние несколько лет.
Кажется что то такое я уже читал год/полтора назад. Возможно с теми же CVE.
PS. У микротика роутеры вроде белые :D
Только вот количество уязвимых устройств не сокращается, потому что владельцы роутеров не читают такие новости.
Ну вот будут из *-линков собирать ботнеты на сотни тысяч устройств, тогда и поговорим.
А ботнеты из них есть? Реальная угроза? Такого же уровня опасности, как у микротик, чтобы писать раз в несколько месяцев статьи об этом?
Так вот он и есть, если что. Это эксплуатация уязвимости в BusyBox, который где только не используется. В отличие от очень многих производителей, у микротика есть обновление прошивки, большинство сказало «у вас роутеру больше трёх лет, выкидывайте и покупайте новый», естественно немалая доля из них до сих пор в строю. Просто писать «древние роутеры 3+ лет» не так пафосно, как «эти ваши микротики»
Банальное ограничение скорости в микротике выливается в пляски с бубном.
Небанальное а сложное ограничение на других роутерах выливается в невозможность настройки такого ограничения.
Сложность настроек компенсируется большими возможностями.
del.
/ip firewall filter add action=drop chain=input connection-state=new in-interface=my-ispИ половина сервисов с пробросом портов. Не, ну так то конечно - нет сервисов, нет уязвимостей )
Можно было бы и без "вые*" с придуманым именем интерфейса, учитывая что микротик для "кликальщиков мышью" )
Можно еще кстати кабель интернета выдернуть. Тут 146% )
PS. А так то сервисы на самом микротике должны не через фаервол отключаться, а впринципе в настройках.
А так то сервисы на самом микротике должны не через фаервол отключаться, а впринципе в настройкахЗачем их отключать, если я ими пользуюсь. Смысл в том, что не надо их наружу выставлять. На случай, если я на свой домашний микротик захочу зайти например с работы, у он меня постоянно висит в VPN рабочей сети.
Смысл в том, что не надо их наружу выставлять
А помните про многострадальный DNS в микротиках? Этот критически важный сервис до сих пор нельзя забиндить к какому либо ip и/или интерфейсу. Это не совсем правильно - рассчитывать только на фаерволл, ошибка конфигурирования и здравствуй, DNS Amplification.
>А так то сервисы на самом микротике должны не через фаервол отключаться, а впринципе в настройках.
А это предусмотрено. Только вот настраивать как с отключенным апи, веб мордой и ssh - не очень понятно, мда.
>И половина сервисов с пробросом портов
И как это у вас проброс портов в локальную сеть в input цепочку попадает, позвольте спросить?
И половина сервисов с пробросом портовПочему же? Проброс портов это chain=forward.
Дело не только в этом.
Есть еще mac server и romon которые тоже часто настраивают абы как из-за веры в неуловимого Джо.
Я частенько мониторю ради прикола в ip - neighborhood как много устройств видно по соседству через l2 в сети провайдера. Обычно таких не менее десятка. И львиная доля таких устройств имеют неактуальную прошивку.
Врядли человек в здравом уме купит себе белый ip, микротик, удалит правила firewall по-умолчанию и будет сидеть с голой жопой в интернет.
Зачем так категорично?
Если человек знает, что он делает и для чего - то он вполне может и правила по умолчанию удалить, и белый IP взять, и Микротик купить. И при этом быть, в большей безопасности, чем юзер, который сидит за NAT-ом провайдера, без выделенного IP, и с кучей правил в межсетевом экране
Часть провайдеров даёт белый адрес без дополнительной оплаты (в моём случае — белый динамический, например). Часть микротиков идёт без правил в комплекте — просто потому что не предназначены быть пограничным маршрутизатором (CRS125 серия, например).
Но если человек купил что попало и особо не думал — всё может сложиться не очень удачно.
Из новости неясно, с какой версии ROS считается исправленной. Например, в ветке long-term прошивок: 6.45.7? 6.46.8? 6.47.10?
Исследователи безопасности предупреждают о мине замедленного действия из 300 тыс. маршрутизаторов MikroTik