Комментарии 73
В заголовке совет актуальный практически ежемесячно
И не только для Микротик, да.
Только микротик выпускает обновления, в отличии от...
Я имел в виду то, что для RouterOS очень регулярно находят очень опасные уязвимости
Очень регулярно опасные — это примерно три опасных за последние пару лет?
Так вот, тут особенность в том, что на стандартных настройках никто ваш микротик из интернета не взломает. Нужно прямо разрешить доступ к требуемым портам в файрволле, чтобы можно было подключиться извне. И вот тогда вас могут взломать, если вы не обновляете софт. Сравните с прочими производителями, которые перестают поддерживать даже ещё официально продающиеся в крупных магазинах устройства (*пристально смотрит на d-link*). Микротики же прекрасно поддерживаются спустя много лет.
Так вот, тут особенность в том, что на стандартных настройках никто ваш микротик из интернета не взломает. Нужно прямо разрешить доступ к требуемым портам в файрволле, чтобы можно было подключиться извне. И вот тогда вас могут взломать, если вы не обновляете софт. Сравните с прочими производителями, которые перестают поддерживать даже ещё официально продающиеся в крупных магазинах устройства (*пристально смотрит на d-link*). Микротики же прекрасно поддерживаются спустя много лет.
Я бы еще добавил, что в микротах находят новые уязвимости по той причине, что их ищут. Ведь если ты нашел уязвимость, а ее через месяц залатали, то тебе нужна новая уязвимость.
А если ты можешь эксплуатировать уязвимость десятилетней давности, то зачем искать новую (не буду тыкать в таких производителей, все и так в курсе)?
Хотя конечно галочки «обновлять автоматически» выставленной по умолчанию в RouterOS явно не хватает!
А если ты можешь эксплуатировать уязвимость десятилетней давности, то зачем искать новую (не буду тыкать в таких производителей, все и так в курсе)?
Хотя конечно галочки «обновлять автоматически» выставленной по умолчанию в RouterOS явно не хватает!
Зачем обновлять, если и так работает?
/сарказм
/сарказм
Анекдот №-10050861.
Микротик тут при том, что атаковавшие DNS-подменой домен mail.ru вызвали проблемы у сидящих за микротиком, по факту оказавшимися уязвимыми на этапе DNS cache poisoning или что там использовали атакующие. Стало быть, обновлять надо Микротик, mail.ru тут вообще ни при чем, а ТС… "приколист".
сенситивная информация
Как же режет слух такое коверканье двух языков сразу. Чувствительная информация!
Спасибо, думаю это будет полезно.
У меня действительно нет опыта работы с Mikrotik'ами.
У меня действительно нет опыта работы с Mikrotik'ами.
Отличный способ сломать что угодно. Хоть бы на long-term тогда уж переключили.
Ипсек мне обновления ломали последний раз в 2018 году, оспф — год назад, а вайфай на arm архитектуре — две недели назад.
Можно читнуть ченжлоги, чтобы оценить количество регрессий.
Да и тот же ипсек например они регулярно перерабатывают — то целыми разделами, то просто могут один аттрибут поменять. В итоге бэкап конфигурации не заливается, и начинаются трудности.
Можно читнуть ченжлоги, чтобы оценить количество регрессий.
Да и тот же ипсек например они регулярно перерабатывают — то целыми разделами, то просто могут один аттрибут поменять. В итоге бэкап конфигурации не заливается, и начинаются трудности.
Когда комментарий полезнее статьи
Кажется те кто не обновляет роутер всё равно не умеют в скрипты. Лучше уж указать куда тыкать в веб-интерфейсе и winbox-е.
Купил микротик, пое.пробовал… Выкинул в резерв на черный день, купил Зухель (удивительно, но чуть ли не дешевле)
И да, прочувствовал, как весь инет на дефолтной настройке ходит ДНСить через меня. Исправление этого, правда, не помогло принципиально хреновому Вайфаю
И да, прочувствовал, как весь инет на дефолтной настройке ходит ДНСить через меня. Исправление этого, правда, не помогло принципиально хреновому Вайфаю
Микрот же — устройство которое умеет практически всё и вся
Кроме OpenVPN по UDP…
/sarcasm off
Еще раз. Там отвратительный Wifi -модуль оказался. При относительно свободных каналах — не мог прокачать на телевизор стабильный поток в 1-2 Мбит (6м, 1 стена). Моделька правда была простейшая — hap или даже lite
Единственный плюс, что я теперь прилично так выучил про устройство Вайфая и его настройку на Микротике =)
Единственный плюс, что я теперь прилично так выучил про устройство Вайфая и его настройку на Микротике =)
Хм, очень странно, у меня был самый дешёвый hap lite и проблем не было. Не повезло, может быть.
У меня к hap lite только одна предъява. Зажали флеша и после того как накатил доп пакет для IPTV перестало хватать памяти на апдейт. Вот тяжело было постывит чуть болше флеша, там разница копеечная. Зато теперь любой апдейт это танцы с бубном с удалением части пакетов потом их установкой новой версии. Чему удивлятся что многие пользователи не обнавляются.
Есть обходной путь — можно поставить только нужные пакеты, после чего при обновлении проблем уже не будет. Первый вариант по ссылке вам будет интересен.
blog.labrocat.ru/lan-mikrotik-hap-lite-not-enough-space-for-upgrade-обновление-через-netinstall
blog.labrocat.ru/lan-mikrotik-hap-lite-not-enough-space-for-upgrade-обновление-через-netinstall
Вы настраивали мощность устройства? Если нет, то возможно в этом проблема.
В вашем случае можно лишь посоветовать проводить радиообследование, хотябы утилитами встроенными в микротик:
Возможно с каналом, который использовался, были какие-то проблемы.
А голословно заявлять, что у mikrotik радио говно — ну это так себе дело.
/int wi spectral-history wlan1
/int wi spectral-scan wlan1
/int wi snooper snoop wlan1
/int wi sniffer sniff wlan1
Возможно с каналом, который использовался, были какие-то проблемы.
А голословно заявлять, что у mikrotik радио говно — ну это так себе дело.
ставим прибор 1 — работает плохо, настраиваем — работает лучше, но все= плохо
ставим прибор 2 — просто работает
при чем тут голословно?
обследование занятости каналов я тоже делал, каналы менял, мощность крутил, всевозможные мануалы курил…
ставим прибор 2 — просто работает
при чем тут голословно?
обследование занятости каналов я тоже делал, каналы менял, мощность крутил, всевозможные мануалы курил…
Если надо поставить и чтобы работало (подразумевается без знаний и грамотной настройки) это не про микротик.
Именно поэтому многие до сих пор свято верят, что тик не дружит с айфонами, имеет дерьмовый радиомодуль и тому подобные нелепые утверждения, не имеющие ничего общего с действительностью.
Мне ещё не разу не довелось иметь дело со случаем с микротиковским радио, где не удалось найти причину плохой работы wi-fi или после установления причины ее не удалось решить. С этим и связан мой скепсис. Тем более 1-2 мегабита всего. Это уже похоже на 2-3 армированные, несущие стены до приемника.
Именно поэтому многие до сих пор свято верят, что тик не дружит с айфонами, имеет дерьмовый радиомодуль и тому подобные нелепые утверждения, не имеющие ничего общего с действительностью.
при чем тут голословно?
Мне ещё не разу не довелось иметь дело со случаем с микротиковским радио, где не удалось найти причину плохой работы wi-fi или после установления причины ее не удалось решить. С этим и связан мой скепсис. Тем более 1-2 мегабита всего. Это уже похоже на 2-3 армированные, несущие стены до приемника.
Ответственно заявляю, как пользователь целой гирлянды микротиков — вай-фай в них барахло… Перечень устройств, побывавших в моих руках приличный, начиная от секстантов и свитчей, заканчивая нынешним rb4011… Ни в одном устройстве вай-фай не работал так, как я хотел… Паршивый Сяоми нано работал в разы лучше, чем crs109 или rb962 (hap ac)… Сейчас работает связка из rb4011 и Асус rt-ac51u, который настроен обычной ap…
Ни в одном устройстве вай-фай не работал так, как я хотел…
А какие требования предъявлялись?
В моем случае как раз возможности wi-fi микротика позволили расширить горизонт применения и посмотреть на беспроводные линии по другому. Взять хотябы возможность использовать wi-fi модуль как uplink. В то время как тот же самый радиомодуль раздает wi-fi под другим SSID. Это можно как nat`ить, так и за`bridge`вать с локальной сетью с любой фильтрацией на границе. Очень удобно в некоторых случаях, если надо ретранслировать сигнал или зацепиться за оператора без проводов.
Ответственно заявляю, как пользователь целой гирлянды микротиков
Разумеется следует поверить на слово, что руки у вас золотые, и в копилке личных достоинств как минимум несколько вендорских сертификатов по беспроводным сетям микротика?
Основная проблема людей связавщихся с микротиком заключается в том, что если на него пересаживаться с домохозяйских устройств (*link, zycel, asus), без понимания работы технологии — хорошего результата не добиться. Это как с rc-модели вертолета пересесть за штурвал настоящего. И я не топлю, что микротик это лучшее что есть на рынке. Но это лучшее за свои деньги.
Я хотел, чтобы вайфай у меня работал хотя бы в соседней комнате, а не терялся в ноль… Уверяю вас, что микротик у меня выполняет достаточно много интересных функций в качестве маршрутизатора, но речь идёт щас именно о вайфае… так вот, малюсенький сяоми нано давал в 5Ггц в дальней комнате 65 мегабит на телефон Пиксель2, тогда как с hAP ac и нынешним rb4011 5ГГц интерфейс вообще не видит, а 2ГГц либо теряет либо модуляция на уровне 2 мегабит… При этом, если использовать интерфейсы именно микротика, то 802.11ac вообще непонятно себя ведёт — постоянно отваливается на ровном месте. С подключенным Асусом таких проблем нет… Можно аппелировать к тому, что именно эта модель неудачная, но повторюсь, у меня на руках перебывала целая вереница устройств микротик (именно из-за расширенного функционала по маршрутизации и приоритезации пакетов), ни у одного не было достойного вайфая… А уж историю про Секстант, который просто сгнил на мачте за полгода, я рассказываю всем друзьям, когда просят посоветовать радиомост…
Я не ваш друг, безусловно, но не могли бы и мне рассказать?
Для передачи интернета с одного своего дома на другой (к родителям), поставил радиомост из секстантов 5ГГц. Расстояние около 2 км, линк завелся на уровне 60 мегабит, что было неплохо. По прошествии примерно 3 месяцев стали наблюдаться провалы в линке, падение скорости и общее ухудшение связи. Сначала я это списывал на весну и увеличение листвености (в первой зоне Френеля стояло дерево и на нем появились листья), но потом линк стал просто отваливаться, причём в логах стали появляться сообщения о том, что устройство было перезагружена по питанию. Я снял одно из устройств и открыл корпус, слава богу, он пластиковый и на защёлках. Каково было моё удивление, когда увидел, что весь текстолит повздувался и весь smd монтаж был покрыт хлопьями окислов… В общем, от pcb практически ничего не осталось… У второго устройства из этого моста ситуация была получше, но тоже наблюдались окислы на smd элементах… По гарантии менять не стал, слишком муторно. Поставил Юбикьюти Пауэрбридж, уже пять лет стоят и радуют 270 мегабитами реального линка…
Любопытно, впервые о таком слышу, а фотографий не осталось?
Перерыл весь архив, к сожалению, нашёл только фото перед отправкой покупателю с Авито… Вам придётся вам поверить мне на слово…
https://photos.app.goo.gl/ywefWcKSXv7W45XLA
возможно, лично вам не повезло
через меня много микротиков прошло, десятки
два эпизодически зависали по железу и требовали перезагрузки по питанию, явно брак (не критично, оставили, как есть, трудности с воспроизводством проблемы)
ещё один терял прошивку при определённом стечении обстоятельств (заменён по гарантии)
в остальном проблем никогда не встречал, кроме собственного рукожопства
более того, личный опыт мне говорит, что 951-е имели радиомодуль лучше, чем большая часть потребительских роутеров того же ценового диапазона в 2012-2014 гг, как по стабильности работы, так и по покрытию, проводили несколько экспериментов
также неоспоримый плюс: видео один микротик — знаешь их все
все остальные постоянно норовят интерфейс помоднее прикрутить и настройки запрятать понеочевиднее
через меня много микротиков прошло, десятки
два эпизодически зависали по железу и требовали перезагрузки по питанию, явно брак (не критично, оставили, как есть, трудности с воспроизводством проблемы)
ещё один терял прошивку при определённом стечении обстоятельств (заменён по гарантии)
в остальном проблем никогда не встречал, кроме собственного рукожопства
более того, личный опыт мне говорит, что 951-е имели радиомодуль лучше, чем большая часть потребительских роутеров того же ценового диапазона в 2012-2014 гг, как по стабильности работы, так и по покрытию, проводили несколько экспериментов
также неоспоримый плюс: видео один микротик — знаешь их все
все остальные постоянно норовят интерфейс помоднее прикрутить и настройки запрятать понеочевиднее
Смотря насколько «обычной». Если нужно просто воткнуть кабель и чтобы ютуб открывался — совсем просто. Если нужно пробросить порты на конкретные машины — ну, там уже довольно устрашающий интерфейс. ДинДНС — ЕМНИП, надо писать скритп, который бы по крону стучался по указанному адресу и обновлял собственный айпи. IPTv — нужно прописывать правила firewall и прокси, и по последним двум пунктам уже нужно сколько-то разбираться, и мне не кажется, что ДинДНС и IPTv — это какие-то прям вот сильно экзотические применения. Ну и как в том анекдоте «рубль за то, что кнопку нажал, а 99 — за то что знал, какую нажимать», тот же проброс портов и статик лизы прописываются тремя цифрами, но чтобы понять, куда эти три цифры вписать — нуу, нужно более или менее внятно понимать, чего конкретно хочется, в условном тплинке можно тупо перебрать все пункты меню и необходимый бросится в глаза.
например, «обычный» билайн работает через l2tp, который в микротике настраивался весьма интересно
port 8291
И как всегда собака порылась не столько в самом функционале роутера, сколько в сомнительной полезности виндопримочке.
Интернет-провайдерам стоит фильтровать этот порт на своих сетях, чтобы защитить корпоративных пользователей.
А вот давайте только без этого, а то такими темпами мы быстро дойдём до «А давайте отфильтруем всё и оставим только 80 порт для вот этого вот белого списка IP»
Я вот пытался обновить Микротик. Как только обновляюсь до версий 6.45, отваливаются IpSec`и. Вернее начинают отваливаться каждые 2-20 мин. Работать невозможно. Откатываюсь на 6.44.6 — все ок. Пробовал писать в саппорт, даже не отписались (кто-нибудь получал ответ от саппорта хоть раз?). Может я, конечно, и не настоящий сварщик, но проблему решить не получилось. Получилось получить по шапке за остановку работы бухгалтерии :)
В логах отвал IPSEC и его последующее восстановление.
В логах отвал IPSEC и его последующее восстановление.
Думал, что для RouterOS новое обновление вышло после февраля 2020))
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Обновите RouterOS на вашем MikroTik