Как стать автором
Обновить

Комментарии 73

В заголовке совет актуальный практически ежемесячно
И не только для Микротик, да.

Только микротик выпускает обновления, в отличии от...

На мой домашний асус тоже приходят иногда, вроде какие-то уязвимости тоже чинят.
А если я возьму асус почти десятилетней давности?
Этому 4 только ещё, но всё равно приятно, что не забили. Моделька-то домашняя, не профессиональная.

Для soho это скорее исключение. К сожалению.

Я имел в виду то, что для RouterOS очень регулярно находят очень опасные уязвимости
Очень регулярно опасные — это примерно три опасных за последние пару лет?
Так вот, тут особенность в том, что на стандартных настройках никто ваш микротик из интернета не взломает. Нужно прямо разрешить доступ к требуемым портам в файрволле, чтобы можно было подключиться извне. И вот тогда вас могут взломать, если вы не обновляете софт. Сравните с прочими производителями, которые перестают поддерживать даже ещё официально продающиеся в крупных магазинах устройства (*пристально смотрит на d-link*). Микротики же прекрасно поддерживаются спустя много лет.
Я бы еще добавил, что в микротах находят новые уязвимости по той причине, что их ищут. Ведь если ты нашел уязвимость, а ее через месяц залатали, то тебе нужна новая уязвимость.
А если ты можешь эксплуатировать уязвимость десятилетней давности, то зачем искать новую (не буду тыкать в таких производителей, все и так в курсе)?
Хотя конечно галочки «обновлять автоматически» выставленной по умолчанию в RouterOS явно не хватает!

Галочки не хватает, но есть же скрипты?

Домохозяйки не умеют в скрипты.
Зачем обновлять, если и так работает?
/сарказм
Всё понятно, но при чём тут Микротик, если 3/4 статьи о «прекрасном» mail.ru?
Анекдот №-10050861.

Микротик тут при том, что атаковавшие DNS-подменой домен mail.ru вызвали проблемы у сидящих за микротиком, по факту оказавшимися уязвимыми на этапе DNS cache poisoning или что там использовали атакующие. Стало быть, обновлять надо Микротик, mail.ru тут вообще ни при чем, а ТС… "приколист".

сенситивная информация

Как же режет слух такое коверканье двух языков сразу. Чувствительная информация!
А скрипт дать в статье слабо? Мейлру в своей стиле.
/system package update check-for-updates
:delay 5
:if ( [/system package update get installed-version] != [/system package update get latest-version] ) do={
/system package update download
/system reboot
}

И сразу на обновление FW, в шедулере скрипт ставится на стартап.

:if ( [/system routerboard get current-firmware] != [/system routerboard get upgrade-firmware] ) do={
/system routerboard upgrade
/system reboot
}
Спасибо, думаю это будет полезно.
У меня действительно нет опыта работы с Mikrotik'ами.
Отличный способ сломать что угодно. Хоть бы на long-term тогда уж переключили.
Самый популярный не актуальный комментарий с 2014 года.
Ипсек мне обновления ломали последний раз в 2018 году, оспф — год назад, а вайфай на arm архитектуре — две недели назад.
Можно читнуть ченжлоги, чтобы оценить количество регрессий.
Да и тот же ипсек например они регулярно перерабатывают — то целыми разделами, то просто могут один аттрибут поменять. В итоге бэкап конфигурации не заливается, и начинаются трудности.
Как это связано с домашним пользователем? Ему не нужны эти фичи, ему нужны ВК и Ютубчик.
Примерно так же, как ваш комментарий связан с комментарием, на который вы отвечаете.

Когда комментарий полезнее статьи

Кажется те кто не обновляет роутер всё равно не умеют в скрипты. Лучше уж указать куда тыкать в веб-интерфейсе и winbox-е.
Все равно делать не будут. Легче сделать самому, поставить шедулер раз в месяц или 2 и забыть.
Купил микротик, пое.пробовал… Выкинул в резерв на черный день, купил Зухель (удивительно, но чуть ли не дешевле)

И да, прочувствовал, как весь инет на дефолтной настройке ходит ДНСить через меня. Исправление этого, правда, не помогло принципиально хреновому Вайфаю

Дело не в том что микротик трудно настраивать, а в том что его нужно настраивать.
Зухель — устройство для домохозяек. Его включил и все работает. А как оно работает? — А никому и знать не надо.
Микрот же — устройство которое умеет практически всё и вся. И да, его нужно настраивать.

Микрот же — устройство которое умеет практически всё и вся


Кроме OpenVPN по UDP…
/sarcasm off

Я не зря уточнил "практически" :-D

RouterOS 7 уже умеет. Правда пока beta. Но тянули очень долго.

Адепты openvpn в 2020 году выглядят комично

А как надо?

OpenVPN поднялся без проблем на VPS с Ubuntu, а вот с L2TP/IPSec или IPSec Xauth что-то сходу не вышло…
Сейчас если и поднимать — то ipsec/ikev2. Ну или sstp какой-нибудь, если хочется маскировать под https.
Еще раз. Там отвратительный Wifi -модуль оказался. При относительно свободных каналах — не мог прокачать на телевизор стабильный поток в 1-2 Мбит (6м, 1 стена). Моделька правда была простейшая — hap или даже lite

Единственный плюс, что я теперь прилично так выучил про устройство Вайфая и его настройку на Микротике =)
Хм, очень странно, у меня был самый дешёвый hap lite и проблем не было. Не повезло, может быть.
У меня к hap lite только одна предъява. Зажали флеша и после того как накатил доп пакет для IPTV перестало хватать памяти на апдейт. Вот тяжело было постывит чуть болше флеша, там разница копеечная. Зато теперь любой апдейт это танцы с бубном с удалением части пакетов потом их установкой новой версии. Чему удивлятся что многие пользователи не обнавляются.
Есть обходной путь — можно поставить только нужные пакеты, после чего при обновлении проблем уже не будет. Первый вариант по ссылке вам будет интересен.
blog.labrocat.ru/lan-mikrotik-hap-lite-not-enough-space-for-upgrade-обновление-через-netinstall
Вы настраивали мощность устройства? Если нет, то возможно в этом проблема.

Причем рекомендация звучит "попробуйте уменьшить выходную мощность"

проверено
В вашем случае можно лишь посоветовать проводить радиообследование, хотябы утилитами встроенными в микротик:

/int wi spectral-history wlan1
/int wi spectral-scan wlan1
/int wi snooper snoop wlan1
/int wi sniffer sniff wlan1


Возможно с каналом, который использовался, были какие-то проблемы.
А голословно заявлять, что у mikrotik радио говно — ну это так себе дело.
ставим прибор 1 — работает плохо, настраиваем — работает лучше, но все= плохо
ставим прибор 2 — просто работает

при чем тут голословно?

обследование занятости каналов я тоже делал, каналы менял, мощность крутил, всевозможные мануалы курил…
Если надо поставить и чтобы работало (подразумевается без знаний и грамотной настройки) это не про микротик.
Именно поэтому многие до сих пор свято верят, что тик не дружит с айфонами, имеет дерьмовый радиомодуль и тому подобные нелепые утверждения, не имеющие ничего общего с действительностью.

при чем тут голословно?

Мне ещё не разу не довелось иметь дело со случаем с микротиковским радио, где не удалось найти причину плохой работы wi-fi или после установления причины ее не удалось решить. С этим и связан мой скепсис. Тем более 1-2 мегабита всего. Это уже похоже на 2-3 армированные, несущие стены до приемника.

Ответственно заявляю, как пользователь целой гирлянды микротиков — вай-фай в них барахло… Перечень устройств, побывавших в моих руках приличный, начиная от секстантов и свитчей, заканчивая нынешним rb4011… Ни в одном устройстве вай-фай не работал так, как я хотел… Паршивый Сяоми нано работал в разы лучше, чем crs109 или rb962 (hap ac)… Сейчас работает связка из rb4011 и Асус rt-ac51u, который настроен обычной ap…

Ни в одном устройстве вай-фай не работал так, как я хотел…

А какие требования предъявлялись?
В моем случае как раз возможности wi-fi микротика позволили расширить горизонт применения и посмотреть на беспроводные линии по другому. Взять хотябы возможность использовать wi-fi модуль как uplink. В то время как тот же самый радиомодуль раздает wi-fi под другим SSID. Это можно как nat`ить, так и за`bridge`вать с локальной сетью с любой фильтрацией на границе. Очень удобно в некоторых случаях, если надо ретранслировать сигнал или зацепиться за оператора без проводов.

Ответственно заявляю, как пользователь целой гирлянды микротиков

Разумеется следует поверить на слово, что руки у вас золотые, и в копилке личных достоинств как минимум несколько вендорских сертификатов по беспроводным сетям микротика?
Основная проблема людей связавщихся с микротиком заключается в том, что если на него пересаживаться с домохозяйских устройств (*link, zycel, asus), без понимания работы технологии — хорошего результата не добиться. Это как с rc-модели вертолета пересесть за штурвал настоящего. И я не топлю, что микротик это лучшее что есть на рынке. Но это лучшее за свои деньги.
А уж какая там фильтрация подключаемых клиентов… Да еще и ширина каналов 5 и 10МГц, которая спасает в городе.
о да, пока не появилась возможность для радиомоста в гараж промежуточную точку поставить, только 5МГц и спасался через переотражёнку, на десятке постоянно падал канал
Я хотел, чтобы вайфай у меня работал хотя бы в соседней комнате, а не терялся в ноль… Уверяю вас, что микротик у меня выполняет достаточно много интересных функций в качестве маршрутизатора, но речь идёт щас именно о вайфае… так вот, малюсенький сяоми нано давал в 5Ггц в дальней комнате 65 мегабит на телефон Пиксель2, тогда как с hAP ac и нынешним rb4011 5ГГц интерфейс вообще не видит, а 2ГГц либо теряет либо модуляция на уровне 2 мегабит… При этом, если использовать интерфейсы именно микротика, то 802.11ac вообще непонятно себя ведёт — постоянно отваливается на ровном месте. С подключенным Асусом таких проблем нет… Можно аппелировать к тому, что именно эта модель неудачная, но повторюсь, у меня на руках перебывала целая вереница устройств микротик (именно из-за расширенного функционала по маршрутизации и приоритезации пакетов), ни у одного не было достойного вайфая… А уж историю про Секстант, который просто сгнил на мачте за полгода, я рассказываю всем друзьям, когда просят посоветовать радиомост…
Я не ваш друг, безусловно, но не могли бы и мне рассказать?

Для передачи интернета с одного своего дома на другой (к родителям), поставил радиомост из секстантов 5ГГц. Расстояние около 2 км, линк завелся на уровне 60 мегабит, что было неплохо. По прошествии примерно 3 месяцев стали наблюдаться провалы в линке, падение скорости и общее ухудшение связи. Сначала я это списывал на весну и увеличение листвености (в первой зоне Френеля стояло дерево и на нем появились листья), но потом линк стал просто отваливаться, причём в логах стали появляться сообщения о том, что устройство было перезагружена по питанию. Я снял одно из устройств и открыл корпус, слава богу, он пластиковый и на защёлках. Каково было моё удивление, когда увидел, что весь текстолит повздувался и весь smd монтаж был покрыт хлопьями окислов… В общем, от pcb практически ничего не осталось… У второго устройства из этого моста ситуация была получше, но тоже наблюдались окислы на smd элементах… По гарантии менять не стал, слишком муторно. Поставил Юбикьюти Пауэрбридж, уже пять лет стоят и радуют 270 мегабитами реального линка…

Любопытно, впервые о таком слышу, а фотографий не осталось?
По гарантии менять не стал, слишком муторно

Свежо предание, а верится с трудом

Перерыл весь архив, к сожалению, нашёл только фото перед отправкой покупателю с Авито… Вам придётся вам поверить мне на слово…
https://photos.app.goo.gl/ywefWcKSXv7W45XLA

возможно, лично вам не повезло
через меня много микротиков прошло, десятки
два эпизодически зависали по железу и требовали перезагрузки по питанию, явно брак (не критично, оставили, как есть, трудности с воспроизводством проблемы)
ещё один терял прошивку при определённом стечении обстоятельств (заменён по гарантии)
в остальном проблем никогда не встречал, кроме собственного рукожопства
более того, личный опыт мне говорит, что 951-е имели радиомодуль лучше, чем большая часть потребительских роутеров того же ценового диапазона в 2012-2014 гг, как по стабильности работы, так и по покрытию, проводили несколько экспериментов
также неоспоримый плюс: видео один микротик — знаешь их все
все остальные постоянно норовят интерфейс помоднее прикрутить и настройки запрятать понеочевиднее
НЛО прилетело и опубликовало эту надпись здесь
Смотря насколько «обычной». Если нужно просто воткнуть кабель и чтобы ютуб открывался — совсем просто. Если нужно пробросить порты на конкретные машины — ну, там уже довольно устрашающий интерфейс. ДинДНС — ЕМНИП, надо писать скритп, который бы по крону стучался по указанному адресу и обновлял собственный айпи. IPTv — нужно прописывать правила firewall и прокси, и по последним двум пунктам уже нужно сколько-то разбираться, и мне не кажется, что ДинДНС и IPTv — это какие-то прям вот сильно экзотические применения. Ну и как в том анекдоте «рубль за то, что кнопку нажал, а 99 — за то что знал, какую нажимать», тот же проброс портов и статик лизы прописываются тремя цифрами, но чтобы понять, куда эти три цифры вписать — нуу, нужно более или менее внятно понимать, чего конкретно хочется, в условном тплинке можно тупо перебрать все пункты меню и необходимый бросится в глаза.
Что при этом в Микротик хорошо — можно просто открыть официальную документацию и там всё будет расписано по шагам.
например, «обычный» билайн работает через l2tp, который в микротике настраивался весьма интересно
port 8291

И как всегда собака порылась не столько в самом функционале роутера, сколько в сомнительной полезности виндопримочке.

А ещё андроидопримочке и айосопримочке.

Но полезности от разнообразия платформ больше не стало :-)

Это ваше мнение. Более того, моё с ним не совпадает.

Интернет-провайдерам стоит фильтровать этот порт на своих сетях, чтобы защитить корпоративных пользователей.

А вот давайте только без этого, а то такими темпами мы быстро дойдём до «А давайте отфильтруем всё и оставим только 80 порт для вот этого вот белого списка IP»
53-й
все должны пользоваться только нашими ДНСами, в которых всё заблокировано в соответствии с указаниями роскомцензуры
Я вот пытался обновить Микротик. Как только обновляюсь до версий 6.45, отваливаются IpSec`и. Вернее начинают отваливаться каждые 2-20 мин. Работать невозможно. Откатываюсь на 6.44.6 — все ок. Пробовал писать в саппорт, даже не отписались (кто-нибудь получал ответ от саппорта хоть раз?). Может я, конечно, и не настоящий сварщик, но проблему решить не получилось. Получилось получить по шапке за остановку работы бухгалтерии :)

В логах отвал IPSEC и его последующее восстановление.
у вас наверное арм архитектура.
Это нормально, обещают починить уже пару месяцев. Ещё через пару месяцев починят.

А можно ссылку, где это обсуждается, просто я на форуме ничего толкового не обнаружил.

Думал, что для RouterOS новое обновление вышло после февраля 2020))

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.