Выход обновления RouterOS 6.38: доработка IPSec, поддержка IKEv2, STP, LLDP, TR-069. Первые подробности RouterOS 6.39

10 январь 2017 3 043 0

Накануне Нового года, 30-го декабря компания Mikrotik выпустила обновление RouterOS 6.38. Чуть ранее мы уже говорили об особенностях и изменениях в новой версии.

Если у вас присутствует конфигурация VLAN и STP/RSTP в сети Layer 2, необходимо обновить все устройства до версии 6.38 во избежание возможных проблем и ошибок.

Обновление RouterOS 6.38

Доработка IPSec

Разработчики уделили много внимания IPSec, был исправлен ряд ошибок и проблем. Из важных изменений – добавление поддержки аутентификации через RADIUS для IKEv1

/ip ipsec user settings set xauth-use-radius=yes

Также добавлена поддержка IKEv2 и сквозная аутентификация IKEv2 EAP RADIUS для респондента. В то же время, прекращена поддержка IKEv1 ah+esp.

Tool SNMP – добавлена базовая функциональность Get/Walk

/tool snmp-[get|walk]

Simple Network Management Protocol (SNMP) – стандартизированный протокол для управляемых устройств. Чаще всего данный протокол используется с целью сбора данных и статистики с устройств, например для Cacti, PRTG, MRTG или The Dude.

Функционал SNMP присутствовал в RouterOS и ранее, но по-умолчанию, он отключен. Если вы хотите собирать статистику, заранее необходимо включить SNMP в разделе IP–SNMP. При необходимости, можно задать версию (1-3), а также выбрать интерфейс, на котором будет работать SNMP. Можно указать несколько интерфейсов, если интерфейс не указывать – будут использоваться все доступные интерфейсы.

Пример использования snmp-walk

/tool snmp-walk 192.168.101.1

При выполнении команды вы получите список всех доступных данных с IP 192.168.100.1. Настоятельно рекомендуется запрашивать конкретный OID, в противном случае вы получите вывод всей информации, как необходимой, так и ненужной.

Если данных будет слишком много – вы получите ошибку «action timed out - try again, if error continues contact MikroTik support and send a supout file (13)».

Для того, чтобы узнать OID, можно использовать команду print oid, например

/interface print oid

Далее OID можно использовать в запросе:

/tool snmp-get address=192.168.101.1 oid=1.3.6.1.2.1.47.1.1.1.1.2.65536

Как видите, функционал доступен пока только через командную строку. Будем надеяться, Mikrotik и дальше будет развивать данное направление. Для тех, кто не знаком с SNMP вообще, приведу пример использования.

При помощи Cacti, PRTG, MRTG или The Dude вы можете организовать систему мониторинга сети. Чуть ниже пример с PRTG, система автоматически определяет все интерфейсы, в том числе туннельные. Если для интерфейса указан комментарий – в качестве названия датчика берется комментарий. Также можно добавить загрузку процессора, памяти, аптайм.

Аппаратная функциональность STP для устройств CRS и плат со свичами Atheros.

Spanning Tree Protocol – канальный протокол для сетей Ethernet с произвольной иерархией, в которой присутствует несколько мостов, а сама сеть имеет избыточные связи. Основная задача STP – устранение петель, устройство автоматически выстраивает оптимальные маршруты, а избыточные (резервные) каналы/порты отключаются, чтобы не возникало зацикливаний и коллизий. Подробную информацию читайте в документации http://wiki.mikrotik.com/wiki/Manual:CRS_examples#Spanning_Tree_Protocol

Поддержка протокола TR-069

Пока только в виде отдельного пакета tr069-client и только при использовании CLI. Больше информации можно узнать в предыдущей публикации.

Поддержка новых модемов 3G/4G LTE

В RouterOS 6.38 добавлена поддержка новых модемов Vodafone K4201-Z, Novatel USB620L, PANTECH UML295 и ZTE MF90.

RB750Gr3

Для rb750Gr3 исправлена поддержка IPSec 3des+md5

Уведомление о разгоне

Начиная с версии 6.38, в случае разгона памяти/процессора, в логах системы будет отображаться соответствующее уведомление, например: «Warning: memory overclocked». Волноваться по этому поводу не стоит, Mikrotik также обещают сделать доработку данной функции.

Замечание по Fasttrack

На официальном форуме Mikrotik имеется несколько сообщений о проблемах в работе Fasttrack, поэтому рекомендуем пока воздержаться от обновления, если работа Fasttrack для вас критична.

Тестовая версия RouterOS 6.39

Как и ранее, с выходом RouterOS 6.38 разработчики сразу же начали работу над новой версией – RouterOS 6.39. Как и следовало ожидать, изменения затронули IPSec, в частности IKEv2, поддержка которого добавлена в 6.38.

Важные изменения затронули PPP, в нем полностью переписан алгоритм фрагментации (когда используется MRRU), произведена оптимизация под многоядерность.

Для wAP ac обещается улучшение производительности беспроводной сети в диапазоне 2.4 ГГц.

Полный список изменений RouterOS 6.38

 

  • ipsec - added IKEv1 xauth user authentication with RADIUS;
  • ipsec - added IKEv2 support;
  • ipsec - added IKEv2 EAP RADIUS passthrough authentication for responder;
  • ipsec - added support for unique policy generation;
  • ipsec - removed IKEv1 ah+esp support;
  • snmp - added basic get and walk functionality;
  • switch - added hardware STP functionality for CRS devices and small Atheros switch chips
  • tr069-client - initial implementation (as separate package) (cli only);
  • winbox - Winbox 3.7 is the minimum version that can connect to RouterOS;
  • arp - added "local-proxy-arp" feature;
  • bonding - added "forced-mac-address" option;
  • bonding - fixed "tx-drop" on VLAN over bonding on x86;
  • bridge - fixed rare crash on bridge port removal;
  • bridge - fixed VLAN BPDU rx and tx when connected to non-RouterOS device with STP functionality;
  • bridge - require admin-mac to be specified if auto-mac is disabled;
  • bridge - show bridge port name in port monitor;
  • capsman - added "group-key-update" parameter;
  • capsman - added possibility to change arp, mtu, l2mtu values in datapath configuration;
  • capsman - fixed CAP upgrade when separate wireless package is used (introduced in 6.37);
  • capsman - use correct source address in reply to unicast discovery requests;
  • ccr - added AHCI driver for Samsung XP941 128GB AHCI M.2;
  • certificates - added support for PKCS#12 export;
  • certificates - allow import multiple certs with the same key;
  • certificates - fixed crash when crl is removed while it is being fetched;
  • certificates - fixed trust chain update on local certificate revocation in programs using ssl;
  • certificates - if no name provided create certificate name automatically from certificate fields;
  • console - fixed multi argument value unset;
  • crs - added comment ability in more switch menus;
  • crs - fixed rare kernel failure on switch reset (for example, reboot);
  • dhcp - fixed DNS server assignment to client if dynamic server exists and is from another IP family;
  • dhcp - fixed issue when dhcp-client was still possible on interfaces with "slave" flag and using slave interface MAC address;
  • dhcp - show dhcp server as invalid and log an error when interface becomes a slave;
  • dhcp-server - fixed when wizard was unable to create pool >dhcp_pool99;
  • discovery - added LLDP support;
  • discovery - removed 6to4 tunnels from "/ip neighbor discovery menu";
  • dns - added "max-concurrent-queries" and "max-concurrent-tcp-sessions" settings;
  • dude - changes;
  • ethernet - added "k" and "M" unit support to Ethernet Bandwidth setting;
  • ethernet - fixed "tx-fcs-error" on SFP+ interfaces when loop-protect is enabled;
  • export - do not show interface comment in "/ip neighbor discovery" menu;
  • export - updated default values to clean up export compact;
  • fastpath - fixed rare crash;
  • fastpath - fixed x86 bridge fast-path status shown as active even if it is manually disabled;
  • file - fixed file manager crash when file transfer gets cancelled;
  • firewall - added "creation-time" to address list entries;
  • firewall - added sctp/dccp/udp-lite support for "src-port", "dst-port", "port" and "to-ports" firewall options;
  • firewall - do not defragment packets which are marked with "notrack" in raw firewall;
  • firewall - fixed "time" option by recognizing weekday properly (introduced in v6.37.2);
  • firewall - fixed dynamic raw rule behaviour;
  • firewall - fixed rule activation if "time" option is used and no other active rules are present;
  • firewall - increased max size of connection tracking table to 1048576;
  • firewall - new faster "connection-limit" option implementation;
  • firewall - significantly improved large firewall rule set import performance;
  • graphing - fixed queue graphs showing up in web interface if aggregate name size >57840 symbols;
  • health - show power consumption on devices which has voltage and current monitor;
  • hotspot - fixed nat rule port setting in "hs-unauth-to" chain by changing it from "dst-port" to "src-port" on Walled Garden ip "return" rules;
  • interface - changed loopback interface mtu to 1500;
  • interface - do not treat multiple zeros as single zero on name comparison;
  • interface - show link stats in "/interface print stats-detail" output;
  • ipsec - added ability to specify static IP address at "send-dns" option;
  • ipsec - added ph2 accounting for each policy "/ip ipsec policy ph2-count";
  • ipsec - allow to specify explicit split dns address;
  • ipsec - changed logging topic from error to debug when empty pfkey messages are received;
  • ipsec - do not auto-negotiate more SAs than needed;
  • ipsec - ensure generated policy refers to valid proposal;
  • ipsec - fixed camellia crypto algorithm module loading;
  • ipsec - fixed IPv6 remote prefix;
  • ipsec - fixed kernel failure on tile with sha256 when hardware encryption is not being used;
  • ipsec - fixed peer configuration my-id IPv4 address endianness;
  • ipsec - fixed ph2 auto-negotiation by checking policies in correct order;
  • ipsec - load ipv6 related modules only when ipv6 package is enabled;
  • ipsec - make generated policies always as unique;
  • ipsec - non passive peers will also establish SAs from policy without waiting for the first packet;
  • ipsec - optimized logging under ipsec topic;
  • ipsec - show active flag when policy has active SA;
  • ipsec - show SA "enc-key-size";
  • ipsec - split "mode-config" and "send-dns" arguments;
  • ipv6 - added "no-dad" setting to ipv6 addresses;
  • ipv6 - fixed "accept-router-advertisements" behaviour;
  • ipv6 - moved empty IPv6 pool error message to error topic;
  • lcd - improved performance, causes less cpu load;
  • led - fixed dark mode for cAP 2nD;
  • log - fixed "System rebooted because of kernel failure" message to show after 1st crash reboot;
  • lte - added support for more Vodafone K4201-Z, Novatel USB620L, PANTECH UML295 and ZTE MF90 modems;
  • lte - allow to execute concurrent info commands;
  • lte - fixed dwm-222, Pantech UML296 support;
  • lte - fixed init delay after power reset;
  • lte - increased delay when setting sms send mode;
  • lte - return info data when all the fields are populated;
  • metarouter - fixed startup process (introduced in 6.37.2);
  • mmips - fixed traffic accounting in "/interface" menu;
  • ospf - fixed route crash caused by memory corruption when there are multiple active interfaces;
  • ppp - fixed packet size calculation when MRRU is set (was 2 bytes bigger than MTU allows);
  • ppp - significantly improved shutdown speed on servers with many active tunnels;
  • ppp - significantly improved tunnel termination process on servers with many active tunnels;
  • profile - added "bfd" and "remote-access" processes;
  • profile - added ability to monitor cpu usage per core;
  • profile - make profile work on mmips devices;
  • profile - properly classify "wireless" processes;
  • queue - fixed "time" option by recognizing weekday properly (introduced in v6.37.2);
  • radius - added IPSec service (cli only);
  • rb750Gr3 - fixed ipsec with 3des+md5 to work on this board;
  • rb850Gx2 - fixed pcb temperature monitor if temperature was above 60C;
  • resolver - ignore cache entries if specific server is used;
  • routerboot - show log message if router CPU/RAM is overclocked;
  • script - increment run count value when script is executed from snmp;
  • snmp - always report bonding speed as speed from first bonding slave;
  • snmp - fixed rare crash when incorrectly formatted packet was received;
  • snmp - provide sinr in lte table;
  • ssh - added routing-table setting (cli only);
  • ssh - fixed lost "/ip ssh" settings on upgrade from version older than 5.15;
  • system - reboot device on critical program crash;
  • tile - fixed kernel failure when when IPv6 ICMP packet is sent through PPP interface;
  • time - updated time zones;
  • traceroute - fixed memory leak;
  • traffic-flow - fixed flow sequence counter and length;
  • trafficgen - fixed compact export when "header-stack" includes tcp;
  • trafficgen - fixed crash when IPv6 traffic is processed;
  • trafficgen - fixed potential crash when very big frame is generated;
  • trafficgen - improved fastpath support;
  • tunnel - fixed transmit packets occasionally not going through fastpath;
  • tunnel - properly export keepalive value;
  • usb - fixed kernel failure when Nexus 6P device is removed;
  • users - added minimal required permission set for full user group;
  • users - added TikApp policy;
  • vlan - allow to add multiple VLANs which name starts with same number and has same length;
  • vrrp - do not show unrelated log warning messages about version mismatch;
  • watchdog - do not send supout file if "auto-send-supout" is disabled;
  • webfig - added extra protection against XSS exploits;
  • webfig - show ipv6 addresses correctly;
  • webfig - show properly interface last-link-up/down times;
  • winbox - added "Complete" flag to arp table;
  • winbox - added "untracked" option to firewall "connection-state" setting;
  • winbox - added Dude icon to Dude menu;
  • winbox - allow to enable/disable traffic flow targets;
  • winbox - allow to run profile from "/system resources" menu;
  • winbox - allow to specify interface for leds with "interface-speed" trigger;
  • winbox - do not allow to set "loop-protect-send-interval" to 0s;
  • winbox - do not show hotspot user profile incoming and outgoing filters and marks as set if there is no value specified;
  • winbox - fixed crash when legacy Winbox version was used;
  • winbox - fixed default values for interface "loop-protect-disable-time" and "loop-protect-send-interval";
  • winbox - fixed missing "IPv6/Settings" menu;
  • winbox - fixed typo in "propagate-ttl" setting;
  • winbox - make cert signing include provided ca-crl-host;
  • winbox - moved ipsec peer "exchange-mode" to General tab;
  • winbox - properly show VHT basic and supported rates in CAPsMAN;
  • winbox - removed spare values from loop-protect menu;
  • winbox - show all related HT tab settings in 2GHz-g/n mode;
  • winbox - show primary and secondary ntp addresses as 0.0.0.0 if none are set;
  • winbox - show proper ipv6 connection timeout;
  • wireless - added API command to report country-list (/interface/wireless/info/country-list);
  • wireless - added CRL checking for eap-tls;
  • wireless - fixed action frame handling for WDS nodes;
  • wireless - fixed custom channel extension-channel appearance in console;
  • wireless - fixed full "spectral-history" header print on AP modes;
  • wireless - fixed rare kernel failure when connecting to nv2 access point with legacy rate select;
  • wireless - fixed upgrade from older wireless packages when AP interface had empty SSID;
  • wireless - take in account channel width when returning supported channels;
  • wireless - use VLAN ID 0 in RADIUS message to disable VLAN tagging;

 

Полный список изменений 6.39rc7

 

  • bridge - fixed MAC address learning from switch master-port;
  • capsman - support for communicating frame priority between CAP and CAPsMAN;
  • dhcpv6-client - fixed dhcpv6 rebind on startup;
  • dns - fixed typo in regexp error message;
  • dude - changes discussed here;
  • firewall - nat action "netmap" now requires to-addresses to be specified;
  • ike2 - allow empty selectors to reach policy handler;
  • ike2 - fixed error packet from initiator on responder reply;
  • ike2 - fixed ph1 initial-contact rare desync;
  • ike2 - fixed traffic selector prefix calculation;
  • ike2 - show peer identity of connected peers;
  • ike2 - update also local port when peer changes port;
  • ipsec - fixed flush speed and SAs on startup;
  • ipsec - fixed peer port export;
  • ipsec - port is used only for initiators;
  • leds - added lte modem access technology trigger;
  • log - added warning when winbox/dude sessions was denied;
  • log - improved firewall log messages when NAT has changed only connection ports;
  • mmips - improved general stability;
  • ovpn - fixed address acquisition when ovpn-in interface becomes slave;
  • proxy - fixed "max-cache-object-size" export;
  • proxy - speed-up almost empty disk cache clean-up;
  • rb1100ahx2 - fixed random counter resets for ether12,13;
  • ssh - fixed high memory consumption when transferring file over ssh tunnel;
  • wireless - fixed issue when wireless interfaces might not show up in CAP mode;
  • wireless - fixed occasional crash on interface disabling;
  • ppp - completely rewritten internal fragmentation algorithm (when MRRU is used), optimized for multicore;
  • capsman - added CAP discovery interface list support;
  • ethernet - renamed "rx-lose" to "rx-loss" in ethernet statistics;
  • health - report fan speed for RB800 and RB1100 when 3-pin fan is being used;
  • led - show warning on print when "modem-signal-threshold" is not available;
  • lte - added error handling for remote AT execute;
  • wAP ac - improved 2.4GHz wireless performance;
  • wireless - added "station-roaming" setting (cli only);
  • wireless - show comment on "security-profile" if it is set (cli only);

Ключевые слова:

Mikrotik RouterOS Winbox IPSec LLDP STP TR-069 IKEv2

Комментарии:

Добавить
  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent

Что нам приготовил Mikrotik в RouterOS 6.39?

В версии ROS 6.39 разработчики приготовили несколько интересных изменений: 1) добавлена поддержка более быстрой разновидности Fastpath, которая...

Обновление RouterOS 6.37.1 и Winbox 3.6, тестовый RouterOS 6.38: добавление

Буквально неделю назад компания Mikrotik представила обновление RouterOS 6.37 (Stable), после чего начала активную работу над тестовой версией 6.38...

Mikrotik выпустил обновление RouterOS 6.37: единый пакет wireless, прекращение

Компания Mikrotik официально выпустила обновление RouterOS v.6.37. Настоятельно рекомендуем прочитать список изменений перед обновлением до...

Обновления и исправления RouterOS 6.35-6.35.4, а также подробности новой версии

Выход обновления RouterOS 6.35 привнес достаточно много изменений, среди которых новый беспроводной пакет wireless-rep. После обновления 6.35 было...

Подробности новой версии RouterOS v7 от Mikrotik

На официальном форуме компании Mikrotik существует тема, посвященная RouterOS v7.0 beta1, в которой по этому вопросу есть некоторые ответы...

Mikrotik выпустил обновление RouterOS 6.34.4 и Winbox v3.4

Компания Mikrotik на этой неделе представила обновление операционной системы RouterOS до версии 6.34.4, а также утилиты Winbox до версии 3.4....


авторизация на сайте

Войти при помощи Вконтакте Войти при помощи Facebook Войти при помощи Google+ Войти при помощи Яндекс
Забыли пароль?