Выход обновления RouterOS 6.38: доработка IPSec, поддержка IKEv2, STP, LLDP, TR-069. Первые подробности RouterOS 6.39

10 январь 2017 6 828 0

Накануне Нового года, 30-го декабря компания Mikrotik выпустила обновление RouterOS 6.38. Чуть ранее мы уже говорили об особенностях и изменениях в новой версии.

Если у вас присутствует конфигурация VLAN и STP/RSTP в сети Layer 2, необходимо обновить все устройства до версии 6.38 во избежание возможных проблем и ошибок.

Обновление RouterOS 6.38

Доработка IPSec

Разработчики уделили много внимания IPSec, был исправлен ряд ошибок и проблем. Из важных изменений – добавление поддержки аутентификации через RADIUS для IKEv1


/ip ipsec user settings set xauth-use-radius=yes


Если Вы хотите научиться настраивать MikroTik, предлагаем пройти онлайн обучение. Более подробную информацию Вы можете найти в конце данной публикации.

Также добавлена поддержка IKEv2 и сквозная аутентификация IKEv2 EAP RADIUS для респондента. В то же время, прекращена поддержка IKEv1 ah+esp.

Tool SNMP – добавлена базовая функциональность Get/Walk


/tool snmp-[get|walk]


Simple Network Management Protocol (SNMP) – стандартизированный протокол для управляемых устройств. Чаще всего данный протокол используется с целью сбора данных и статистики с устройств, например для Cacti, PRTG, MRTG или The Dude.

Функционал SNMP присутствовал в RouterOS и ранее, но по-умолчанию, он отключен. Если вы хотите собирать статистику, заранее необходимо включить SNMP в разделе IP–SNMP. При необходимости, можно задать версию (1-3), а также выбрать интерфейс, на котором будет работать SNMP. Можно указать несколько интерфейсов, если интерфейс не указывать – будут использоваться все доступные интерфейсы.

Пример использования snmp-walk


/tool snmp-walk 192.168.101.1


При выполнении команды вы получите список всех доступных данных с IP 192.168.100.1. Настоятельно рекомендуется запрашивать конкретный OID, в противном случае вы получите вывод всей информации, как необходимой, так и ненужной.

Если данных будет слишком много – вы получите ошибку «action timed out - try again, if error continues contact MikroTik support and send a supout file (13)».

Для того, чтобы узнать OID, можно использовать команду print oid, например


/interface print oid


Далее OID можно использовать в запросе:


/tool snmp-get address=192.168.101.1 oid=1.3.6.1.2.1.47.1.1.1.1.2.65536


Как видите, функционал доступен пока только через командную строку. Будем надеяться, Mikrotik и дальше будет развивать данное направление. Для тех, кто не знаком с SNMP вообще, приведу пример использования.

При помощи Cacti, PRTG, MRTG или The Dude вы можете организовать систему мониторинга сети. Чуть ниже пример с PRTG, система автоматически определяет все интерфейсы, в том числе туннельные. Если для интерфейса указан комментарий – в качестве названия датчика берется комментарий. Также можно добавить загрузку процессора, памяти, аптайм.

Аппаратная функциональность STP для устройств CRS и плат со свичами Atheros.

Spanning Tree Protocol – канальный протокол для сетей Ethernet с произвольной иерархией, в которой присутствует несколько мостов, а сама сеть имеет избыточные связи. Основная задача STP – устранение петель, устройство автоматически выстраивает оптимальные маршруты, а избыточные (резервные) каналы/порты отключаются, чтобы не возникало зацикливаний и коллизий. Подробную информацию читайте в документации http://wiki.mikrotik.com/wiki/Manual:CRS_examples#Spanning_Tree_Protocol

Поддержка протокола TR-069

Пока только в виде отдельного пакета tr069-client и только при использовании CLI. Больше информации можно узнать в предыдущей публикации.

Поддержка новых модемов 3G/4G LTE

В RouterOS 6.38 добавлена поддержка новых модемов Vodafone K4201-Z, Novatel USB620L, PANTECH UML295 и ZTE MF90.

RB750Gr3

Для rb750Gr3 исправлена поддержка IPSec 3des+md5

Уведомление о разгоне

Начиная с версии 6.38, в случае разгона памяти/процессора, в логах системы будет отображаться соответствующее уведомление, например: «Warning: memory overclocked». Волноваться по этому поводу не стоит, Mikrotik также обещают сделать доработку данной функции.

Замечание по Fasttrack

На официальном форуме Mikrotik имеется несколько сообщений о проблемах в работе Fasttrack, поэтому рекомендуем пока воздержаться от обновления, если работа Fasttrack для вас критична.

Тестовая версия RouterOS 6.39

Как и ранее, с выходом RouterOS 6.38 разработчики сразу же начали работу над новой версией – RouterOS 6.39. Как и следовало ожидать, изменения затронули IPSec, в частности IKEv2, поддержка которого добавлена в 6.38.

Важные изменения затронули PPP, в нем полностью переписан алгоритм фрагментации (когда используется MRRU), произведена оптимизация под многоядерность.

Для wAP ac обещается улучшение производительности беспроводной сети в диапазоне 2.4 ГГц.

Полный список изменений RouterOS 6.38

 

  • ipsec - added IKEv1 xauth user authentication with RADIUS;
  • ipsec - added IKEv2 support;
  • ipsec - added IKEv2 EAP RADIUS passthrough authentication for responder;
  • ipsec - added support for unique policy generation;
  • ipsec - removed IKEv1 ah+esp support;
  • snmp - added basic get and walk functionality;
  • switch - added hardware STP functionality for CRS devices and small Atheros switch chips
  • tr069-client - initial implementation (as separate package) (cli only);
  • winbox - Winbox 3.7 is the minimum version that can connect to RouterOS;
  • arp - added "local-proxy-arp" feature;
  • bonding - added "forced-mac-address" option;
  • bonding - fixed "tx-drop" on VLAN over bonding on x86;
  • bridge - fixed rare crash on bridge port removal;
  • bridge - fixed VLAN BPDU rx and tx when connected to non-RouterOS device with STP functionality;
  • bridge - require admin-mac to be specified if auto-mac is disabled;
  • bridge - show bridge port name in port monitor;
  • capsman - added "group-key-update" parameter;
  • capsman - added possibility to change arp, mtu, l2mtu values in datapath configuration;
  • capsman - fixed CAP upgrade when separate wireless package is used (introduced in 6.37);
  • capsman - use correct source address in reply to unicast discovery requests;
  • ccr - added AHCI driver for Samsung XP941 128GB AHCI M.2;
  • certificates - added support for PKCS#12 export;
  • certificates - allow import multiple certs with the same key;
  • certificates - fixed crash when crl is removed while it is being fetched;
  • certificates - fixed trust chain update on local certificate revocation in programs using ssl;
  • certificates - if no name provided create certificate name automatically from certificate fields;
  • console - fixed multi argument value unset;
  • crs - added comment ability in more switch menus;
  • crs - fixed rare kernel failure on switch reset (for example, reboot);
  • dhcp - fixed DNS server assignment to client if dynamic server exists and is from another IP family;
  • dhcp - fixed issue when dhcp-client was still possible on interfaces with "slave" flag and using slave interface MAC address;
  • dhcp - show dhcp server as invalid and log an error when interface becomes a slave;
  • dhcp-server - fixed when wizard was unable to create pool >dhcp_pool99;
  • discovery - added LLDP support;
  • discovery - removed 6to4 tunnels from "/ip neighbor discovery menu";
  • dns - added "max-concurrent-queries" and "max-concurrent-tcp-sessions" settings;
  • dude - changes;
  • ethernet - added "k" and "M" unit support to Ethernet Bandwidth setting;
  • ethernet - fixed "tx-fcs-error" on SFP+ interfaces when loop-protect is enabled;
  • export - do not show interface comment in "/ip neighbor discovery" menu;
  • export - updated default values to clean up export compact;
  • fastpath - fixed rare crash;
  • fastpath - fixed x86 bridge fast-path status shown as active even if it is manually disabled;
  • file - fixed file manager crash when file transfer gets cancelled;
  • firewall - added "creation-time" to address list entries;
  • firewall - added sctp/dccp/udp-lite support for "src-port", "dst-port", "port" and "to-ports" firewall options;
  • firewall - do not defragment packets which are marked with "notrack" in raw firewall;
  • firewall - fixed "time" option by recognizing weekday properly (introduced in v6.37.2);
  • firewall - fixed dynamic raw rule behaviour;
  • firewall - fixed rule activation if "time" option is used and no other active rules are present;
  • firewall - increased max size of connection tracking table to 1048576;
  • firewall - new faster "connection-limit" option implementation;
  • firewall - significantly improved large firewall rule set import performance;
  • graphing - fixed queue graphs showing up in web interface if aggregate name size >57840 symbols;
  • health - show power consumption on devices which has voltage and current monitor;
  • hotspot - fixed nat rule port setting in "hs-unauth-to" chain by changing it from "dst-port" to "src-port" on Walled Garden ip "return" rules;
  • interface - changed loopback interface mtu to 1500;
  • interface - do not treat multiple zeros as single zero on name comparison;
  • interface - show link stats in "/interface print stats-detail" output;
  • ipsec - added ability to specify static IP address at "send-dns" option;
  • ipsec - added ph2 accounting for each policy "/ip ipsec policy ph2-count";
  • ipsec - allow to specify explicit split dns address;
  • ipsec - changed logging topic from error to debug when empty pfkey messages are received;
  • ipsec - do not auto-negotiate more SAs than needed;
  • ipsec - ensure generated policy refers to valid proposal;
  • ipsec - fixed camellia crypto algorithm module loading;
  • ipsec - fixed IPv6 remote prefix;
  • ipsec - fixed kernel failure on tile with sha256 when hardware encryption is not being used;
  • ipsec - fixed peer configuration my-id IPv4 address endianness;
  • ipsec - fixed ph2 auto-negotiation by checking policies in correct order;
  • ipsec - load ipv6 related modules only when ipv6 package is enabled;
  • ipsec - make generated policies always as unique;
  • ipsec - non passive peers will also establish SAs from policy without waiting for the first packet;
  • ipsec - optimized logging under ipsec topic;
  • ipsec - show active flag when policy has active SA;
  • ipsec - show SA "enc-key-size";
  • ipsec - split "mode-config" and "send-dns" arguments;
  • ipv6 - added "no-dad" setting to ipv6 addresses;
  • ipv6 - fixed "accept-router-advertisements" behaviour;
  • ipv6 - moved empty IPv6 pool error message to error topic;
  • lcd - improved performance, causes less cpu load;
  • led - fixed dark mode for cAP 2nD;
  • log - fixed "System rebooted because of kernel failure" message to show after 1st crash reboot;
  • lte - added support for more Vodafone K4201-Z, Novatel USB620L, PANTECH UML295 and ZTE MF90 modems;
  • lte - allow to execute concurrent info commands;
  • lte - fixed dwm-222, Pantech UML296 support;
  • lte - fixed init delay after power reset;
  • lte - increased delay when setting sms send mode;
  • lte - return info data when all the fields are populated;
  • metarouter - fixed startup process (introduced in 6.37.2);
  • mmips - fixed traffic accounting in "/interface" menu;
  • ospf - fixed route crash caused by memory corruption when there are multiple active interfaces;
  • ppp - fixed packet size calculation when MRRU is set (was 2 bytes bigger than MTU allows);
  • ppp - significantly improved shutdown speed on servers with many active tunnels;
  • ppp - significantly improved tunnel termination process on servers with many active tunnels;
  • profile - added "bfd" and "remote-access" processes;
  • profile - added ability to monitor cpu usage per core;
  • profile - make profile work on mmips devices;
  • profile - properly classify "wireless" processes;
  • queue - fixed "time" option by recognizing weekday properly (introduced in v6.37.2);
  • radius - added IPSec service (cli only);
  • rb750Gr3 - fixed ipsec with 3des+md5 to work on this board;
  • rb850Gx2 - fixed pcb temperature monitor if temperature was above 60C;
  • resolver - ignore cache entries if specific server is used;
  • routerboot - show log message if router CPU/RAM is overclocked;
  • script - increment run count value when script is executed from snmp;
  • snmp - always report bonding speed as speed from first bonding slave;
  • snmp - fixed rare crash when incorrectly formatted packet was received;
  • snmp - provide sinr in lte table;
  • ssh - added routing-table setting (cli only);
  • ssh - fixed lost "/ip ssh" settings on upgrade from version older than 5.15;
  • system - reboot device on critical program crash;
  • tile - fixed kernel failure when when IPv6 ICMP packet is sent through PPP interface;
  • time - updated time zones;
  • traceroute - fixed memory leak;
  • traffic-flow - fixed flow sequence counter and length;
  • trafficgen - fixed compact export when "header-stack" includes tcp;
  • trafficgen - fixed crash when IPv6 traffic is processed;
  • trafficgen - fixed potential crash when very big frame is generated;
  • trafficgen - improved fastpath support;
  • tunnel - fixed transmit packets occasionally not going through fastpath;
  • tunnel - properly export keepalive value;
  • usb - fixed kernel failure when Nexus 6P device is removed;
  • users - added minimal required permission set for full user group;
  • users - added TikApp policy;
  • vlan - allow to add multiple VLANs which name starts with same number and has same length;
  • vrrp - do not show unrelated log warning messages about version mismatch;
  • watchdog - do not send supout file if "auto-send-supout" is disabled;
  • webfig - added extra protection against XSS exploits;
  • webfig - show ipv6 addresses correctly;
  • webfig - show properly interface last-link-up/down times;
  • winbox - added "Complete" flag to arp table;
  • winbox - added "untracked" option to firewall "connection-state" setting;
  • winbox - added Dude icon to Dude menu;
  • winbox - allow to enable/disable traffic flow targets;
  • winbox - allow to run profile from "/system resources" menu;
  • winbox - allow to specify interface for leds with "interface-speed" trigger;
  • winbox - do not allow to set "loop-protect-send-interval" to 0s;
  • winbox - do not show hotspot user profile incoming and outgoing filters and marks as set if there is no value specified;
  • winbox - fixed crash when legacy Winbox version was used;
  • winbox - fixed default values for interface "loop-protect-disable-time" and "loop-protect-send-interval";
  • winbox - fixed missing "IPv6/Settings" menu;
  • winbox - fixed typo in "propagate-ttl" setting;
  • winbox - make cert signing include provided ca-crl-host;
  • winbox - moved ipsec peer "exchange-mode" to General tab;
  • winbox - properly show VHT basic and supported rates in CAPsMAN;
  • winbox - removed spare values from loop-protect menu;
  • winbox - show all related HT tab settings in 2GHz-g/n mode;
  • winbox - show primary and secondary ntp addresses as 0.0.0.0 if none are set;
  • winbox - show proper ipv6 connection timeout;
  • wireless - added API command to report country-list (/interface/wireless/info/country-list);
  • wireless - added CRL checking for eap-tls;
  • wireless - fixed action frame handling for WDS nodes;
  • wireless - fixed custom channel extension-channel appearance in console;
  • wireless - fixed full "spectral-history" header print on AP modes;
  • wireless - fixed rare kernel failure when connecting to nv2 access point with legacy rate select;
  • wireless - fixed upgrade from older wireless packages when AP interface had empty SSID;
  • wireless - take in account channel width when returning supported channels;
  • wireless - use VLAN ID 0 in RADIUS message to disable VLAN tagging;

 

Полный список изменений 6.39rc7

 

  • bridge - fixed MAC address learning from switch master-port;
  • capsman - support for communicating frame priority between CAP and CAPsMAN;
  • dhcpv6-client - fixed dhcpv6 rebind on startup;
  • dns - fixed typo in regexp error message;
  • dude - changes discussed here;
  • firewall - nat action "netmap" now requires to-addresses to be specified;
  • ike2 - allow empty selectors to reach policy handler;
  • ike2 - fixed error packet from initiator on responder reply;
  • ike2 - fixed ph1 initial-contact rare desync;
  • ike2 - fixed traffic selector prefix calculation;
  • ike2 - show peer identity of connected peers;
  • ike2 - update also local port when peer changes port;
  • ipsec - fixed flush speed and SAs on startup;
  • ipsec - fixed peer port export;
  • ipsec - port is used only for initiators;
  • leds - added lte modem access technology trigger;
  • log - added warning when winbox/dude sessions was denied;
  • log - improved firewall log messages when NAT has changed only connection ports;
  • mmips - improved general stability;
  • ovpn - fixed address acquisition when ovpn-in interface becomes slave;
  • proxy - fixed "max-cache-object-size" export;
  • proxy - speed-up almost empty disk cache clean-up;
  • rb1100ahx2 - fixed random counter resets for ether12,13;
  • ssh - fixed high memory consumption when transferring file over ssh tunnel;
  • wireless - fixed issue when wireless interfaces might not show up in CAP mode;
  • wireless - fixed occasional crash on interface disabling;
  • ppp - completely rewritten internal fragmentation algorithm (when MRRU is used), optimized for multicore;
  • capsman - added CAP discovery interface list support;
  • ethernet - renamed "rx-lose" to "rx-loss" in ethernet statistics;
  • health - report fan speed for RB800 and RB1100 when 3-pin fan is being used;
  • led - show warning on print when "modem-signal-threshold" is not available;
  • lte - added error handling for remote AT execute;
  • wAP ac - improved 2.4GHz wireless performance;
  • wireless - added "station-roaming" setting (cli only);
  • wireless - show comment on "security-profile" if it is set (cli only);

Видеокурс «Настройка оборудования MikroTik» (аналог MTCNA)

Учитесь работать с MikroTik? Рекомендую видеокурс «Настройка оборудования MikroTik». В курсе разобраны все темы из официальной учебной программы MTCNA и много дополнительного материала. Курс сочетает теоретическую часть и практику – настройку маршрутизатора по техническому заданию. Консультации по заданиям курса ведет его автор Дмитрий Скоромнов. Подойдет и для первого знакомства с оборудованием MikroTik, и для систематизации знаний опытным специалистам.

Интернет-магазин ntools.com.ua

Ключевые слова:

Mikrotik RouterOS Winbox IPSec LLDP STP TR-069 IKEv2

Комментарии:

Добавить
  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent

Обновление Mikrotik RouterOS 6.45.1: важные исправления безопасности и

20 июня компания Mikrotik опубликовала в своем блоге короткую заметку , имеющую отношение к уязвимостям CVE-2019-11477, CVE-2019-11478 и...

В разработке: подробности грядущего обновления RouterOS v6.42

Команда Mikrotik продолжает работу над подготовкой очередного обновления RouterOS до версии 6.42. Более подробную информацию обо всех изменениях вы...

Mikrotik представит обновление RouterOS 6.40 уже в ближайшие дни

Представители компании Mikrotik подтвердили намерение выпустить обновление RouterOS 6.40 уже в ближайшие дни. Начиная с версии RouterOS v6.40rc36,...

Mikrotik представили обновление RouterOS 6.39: оптимизации, исправления и новые

27 апреля компания Mikrotik представила официальное обновление RouterOS 6.39. Поскольку с момента предыдущего анонса 6.38.5 (9 марта) прошло немало...

Что нам приготовил Mikrotik в RouterOS 6.39?

В версии ROS 6.39 разработчики приготовили несколько интересных изменений: 1) добавлена поддержка более быстрой разновидности Fastpath, которая будет...

Обновление RouterOS 6.37.1 и Winbox 3.6, тестовый RouterOS 6.38: добавление

Буквально неделю назад компания Mikrotik представила обновление RouterOS 6.37 (Stable), после чего начала активную работу над тестовой версией 6.38...

авторизация на сайте

Войти при помощи Facebook Войти при помощи Google+
Забыли пароль?