Помощь проекту


Функция Protected Routerboot в RouterOS, обновление загрузчика RouterBOOT (Factory Firmware) на устаревших устройствах Mikrotik

30 июль 2018 3 543 12
Почти 2 года назад в одном из обновлений загрузчика и RouterOS, для устройств Mikrotik была добавлена функция «Protected Routerboot». Спрятан этот параметр в подменю System – Routerboard – Settings.

Активация Protected Routerboot блокирует загрузчик, после чего изменения в него могут быть внесены только из меню RouterOS. В режиме Protected Routerboot, устройство будет игнорировать команды из консоли, кнопку сброса (reset) и режим Netinstall, поэтому будьте внимательны при включении данной опции. Получить доступ к устройству можно будет только зная пароль администратора.
Единственный вариант восстановления доступа к устройству – полное переформатирование памяти, для чего требуется удерживать кнопку сброса в пределах заданных интервалов. По-умолчанию, это не менее 20 сек и не более 10 минут.

За минимальное время удержания отвечает параметр reformat-hold-button (5-300 сек), за верхний предел – reformat-hold-button-max (5-600 сек). Изменив эти параметры, вы можете создать уникальный метод полного аппаратного сброса, который будет известен только вам, например, удержание кнопки сброса и её отпускание в промежутке между 90 и 110 секундами.

Задаются все эти параметры из командной строки, например:

/system routerboard settings set protected-routerboot=enabled

Интервал в 5 секунд устанавливать не рекомендуется, т.к. вы можете попросту не попасть в интервал. Не говоря уже о интервалах в 1-2 секунды.

Указанный метод восстановления на официальном Mikrotik wiki имеет пометку «EXTREMELY DANGEROUS», т.е. «чрезвычайно опасно». Иными словами, прибегать к данному методу восстановления можно только тогда, когда получить доступ к устройству иным путем не удается. Обязательно используйте источник бесперебойного питания, поскольку во времяданной процедуры будет выполнено полное переформатирование флеш-памяти. На некоторых устройствах процесс форматирования может занять до 5 минут. После форматирования потребуется восстановление RouterOS при помощи Netinstall.

Вы, наверное, задаетесь вопросом, зачем нужен Protected Routerboot?

Все просто, существует множество корпоративных конфигураций, для которых важно сохранить конфиденциальные данные – в памяти устройства могут храниться сертификаты, резервные бекапы, текстовые файлы конфигураций и т.д. Если такое устройство будет украдено, злоумышленник не сможет его использовать без пароля администратора и возможности сброса. А если злоумышленнику и удастся выполнить сброс, при этом будет полностью отформатирована внутренняя память устройства.
И все бы хорошо, но данная функция поддерживается только начиная с версии RouterBOOT 3.24+ и RouterOS 6.33+. С обновлением RouterOS вопросов не возникает, а вот с RouterBOOT не все так просто.

Очень многие старые устройства работают с Factory Firmware версии ниже 3.24, например, один из моих RB951Ui-2HnD использовал версию 3.08. Обновить RouterBOOT так просто у вас не получится.

Для того, чтобы обновить RouterBOOT, используются специальные DPK-файлы, найти которые можно на официальном вики. Обратите внимание, что для каждой платформы используется свой файл:

Предупреждение

Данная инструкция основана на личном опыте и информации с официального форума Mikrotik. Всё, что описано далее вы делаете на свой страх и риск! Неправильные действия и/или ошибки в процессе обновления могут повлечь выход оборудования из строя.
Во-первых, не выполняйте удаленное обновление программного обеспечения, т.к. в редких случаях может потребоваться принудительная физическая перезагрузка устройства.

Во-вторых, не обновляйте RouterBOOT без явной на то необходимости, а также в случаях, когда версия Factory Firmware в вашем устройстве новее той, ссылки на которые прилагаются в этой публикации.

В-третьих, обязательно делайте бэкап или выгрузку конфигурации на внешний носитель информации до любых манипуляций.

Подготовка

Для того, чтобы выполнить обновление загрузчика на старых платформах, потребуется пройти небольшой квест. Вся проблема состоит в том, что обновление загрузчика поддерживается на версии RouterOS ниже 6.41, т.е. на предыдущих версиях 6.40 (current) и 6.40.7 (bugfix).

Перед любыми действиями делаем резервную выгрузку конфигурации, например:
/export file=R2.rsc

После чего созданный файл сохраняем на внешний диск (ПК, флешку, куда угодно).

Теперь нам необходимо скачать все требуемые файлы.

Одного понижения RouterOS будет недостаточно, дополнительно потребуется понизить версию Current Firmware. Для этого требуется специальный FWF-файл. Найти файлы можно на официальном форуме Mikrotik по ссылке выше. Для удобства ниже я собрал для вас прямые ссылки на файлы для всех поддерживаемых платформ.

TileraMMIPSSMIPSMIPSBEARMPowerPCНе путайте, например, qca9344 и qca9344L, это разные платформы! Если в скобках не указана версия загрузчика, она имеет версию 3.41.

Первым делом смотрим параметры платформы, для того, чтобы скачать необходимые файлы.

В моем случае это Mikrotik RB750r2, архитектура MIPSBE (qca9531L). Рассмотрим на его примере процесс обновления загрузчика.
Для нашей платформы качаем файл qca9531L_3.41.fwf – нужен он для понижения Current Firmware до версии 3.41.

Затем для платформы MIPSBE качаем файл protected_routerboot_v3_41_enable_6_40_mipsbe.dpk, он нужен непосредственно для обновления Factory Firmware.

После чего из архива на официальном сайте скачиваем файл прошивки, в моем случае это routeros-mipsbe-6.40.npk. Попутно скачиваем и последнюю актуальную версию.

Последовательность обновления загрузчика RouterBOOT (Factory Firmware)

Бэкапы созданы, требуемые файлы загружены, приступаем к самому ответственному этапу – прошивке ПО. Первым делом заливаем файл прошивки routeros-mipsbe-6.40.npk в память устройства (раздел Files), затем заходим в System – Packages и нажимаем кнопку Downgrade. Во всплывающем окошке подтверждаем операцию, устройство будет перезагружено.

Ждем завершения обновления RouterOS, на это может потребовать до 2 минут. Далее заходим в Winbox и проверяем, изменилась ли версия RouterOS, она у нас должна понизиться до «приемлемой» версии 6.40 либо 6.40.7, в зависимости о того, какой файл вы заливали. Версии RouterOS 6.41 и выше не поддерживают обновление Factory Firmware, впрочем, попробовать вы можете, не исключено, что в новых версиях (>6.42.6) могут быть изменения.

После понижения ROS, закидываем в память устройства FWF-файл qca9531L_3.41.fwf. В меню System – Routerboard в нижней строчке Upgrade Firmware должна отобразиться версия 3.41.

Нажимаем Upgrade, подтверждаем операцию и перезагружаемся. После перезагрузки снова заходим в подменю System – Routerboard и проверяем значение Current Firmware. Если вы проделали все верно, текущая версия должна понизиться и в поле Current Firmware отобразится версия 3.41.

На этом этапе мы выполнили 2 главные условия – наличие RouterOS 6.40 current (или 6.40.7 bugfix) и версии Current Firmware 3.41. Теперь можно приступать к обновлению непосредственно Factory Firmware при помощи DPK-файла.

Для этого закидываем в память устройства файл protected_routerboot_v3_41_enable_6_40_mipsbe.dpk

Как и ранее, для установки пакета, перезагружаем устройство из подменю System - Reboot.

После перезагрузки устройства в подменю System – Routerboard проверяем версию Factory Firmware, она изменилась/понизилась на 3.41.

Заводская версия загрузчика обновлена. Теперь нам обязательно необходимо обновиться на последнюю версию RouterOS и затем выполнить повторное обновление Current Firmware, на этот раз уже до последней версии.

Заходим System – Packages и нажимаем Check for Updates для загрузки обновлений с официальных серверов Mikrotik.

Лично я бы вообще порекомендовал заранее запастись подходящим NPK-файлом и Netinstall, мало ли, всякое бывает. В конкретном примере это файл routeros-mipsbe-6.42.6.npk, актуальная версия для MIPSBE на момент написания.

После обновления версии RouterOS, не забудьте повторно обновить до последней версии Current Firmware, для чего потребуется еще одна перезагрузка устройства.

Казалось бы, все, но нет… в RouterOS начиная с 6.40 и заканчивая 6.42.6 было внесено достаточно большое количество изменений, поэтому ваша конфигурация могла быть повреждена/изменена в процессе всех предыдущих обновлений/манипуляций. По этой причине я рекомендую выполнить полный сброс командой System – Reset Configuration с параметрами «No Default Configuration» и «Do Not Backup».

После сброса заходим на устройство и заливаем в его память сохраненный файл конфигурации. В моем случае это R2.rsc.

Открываем New Terminal и выполняем команду
import file=R2.rsc

На этом процесс обновления Factory Firmware (RouterBOOT) и восстановления конфигурации завершен.

Видеокурс «Настройка оборудования MikroTik» (аналог MTCNA)

Учитесь работать с MikroTik? Рекомендую видеокурс «Настройка оборудования MikroTik». В курсе разобраны все темы из официальной учебной программы MTCNA и много дополнительного материала. Курс сочетает теоретическую часть и практику – настройку маршрутизатора по техническому заданию. Консультации по заданиям курса ведет его автор Дмитрий Скоромнов. Подойдет и для первого знакомства с оборудованием MikroTik, и для систематизации знаний опытным специалистам.

Интернет-магазин ntools.com.ua

Комментарии:

Добавить
  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent
  1. Vladimir
    Vladimir Гости 18 сентября 2018 13:10
    + 0 -
    Здравствуйте. Кто-то может поделиться живыми ссылками на fwf файлы?
    1. Vladimir
      Vladimir Гости 19 сентября 2018 10:05
      + 0 -
      Сам себе и отвечу. Все осталось на сайте. Только в ссылке в слове "rb_bootloader" добавилась "s".
      например https://i.mt.lv/cdn/rb_bootloader/mpc8323_2.18.fwf.
      Но лучше переходить по ссылкам Hardware-Ваш продукт-Support $ Downloads-RouterBoot firmware с главной страницы сайта
  2. artyfox
    artyfox Посетители 29 августа 2018 10:52
    + 0 -
    В прошивке 6.40.9 (bugfix) firmware 3.41 уже встроен изначально, соответственно файлы *.fwf больше не нужны, видимо поэтому их и потёрли с сайта. Проверял на 951G и hAP ac, всё отлично работает.
    1. DmitryAVET
      DmitryAVET Создатель 29 августа 2018 23:14
      + 0 -
      в прошивках обычно current, но не factory
  3. Максим
    Максим Гости 23 августа 2018 19:15
    + 0 -
    Насколько корректно понижение Firmware нажатием Upgrade? Т.е. после понижения RouterBoard текущая версия Current выше Upgrade Firmware и при обновлении обычным способом версия без проблем откатывается назад без файла с расширением fwf.
    1. DmitryAVET
      DmitryAVET Создатель 23 августа 2018 23:58
      + 0 -
      Абсолютно корректно, более того, именно так и рекомендуется делать, через кнопку Upgrade. Так можно и повышать и понижать версию.
  4. гость
    гость Гости 18 августа 2018 13:04
    + 0 -
    Страница i.mt.lv не найдена

    Не найдена страница для веб-адреса https://i.mt.lv/cdn/rb_bootloader/ar9344_3.41.fwf
    Есть в резервах?
    1. DmitryAVET
      DmitryAVET Создатель 20 августа 2018 00:12
      + 0 -
      Потерли файлы...

      Тут есть версия 3.33 (ar9344_3.33.fwf):
      https://www.mikrotik-store.eu/en/RB2011UiAS-2HnD-IN
  5. Максим
    Максим Гости 2 августа 2018 17:26
    + 0 -
    В hap ac2 стоит 3.43,т.е. ни чего делать не нужно,я правильно понимаю?
    1. DmitryAVET
      DmitryAVET Создатель 2 августа 2018 18:48
      + 0 -
      Ничего делать не требуется, более того, производитель крайне не советует выполнять манипуляции, в случае когда у вас версия новее, чем та, которая тут описана.

      Сама функция Protected Routerboot работает начиная с 3.24+

      reformat-hold-button и reformat-hold-button-max доступны с 3.38.3+

      Для акцивации требуется RouterOS версии 6.33+
  6. ABendus
    ABendus Гости 31 июля 2018 00:40
    + 0 -
    Доброго времени суток!

    Исключительно ради спортивного интереса проделал описанное в статье обновление Factory Firmware на домашних Микротиках. Непосредственно сам функционал Protected Routerboot не нужен.

    Подопытные устройства: 2011UAS-2HnD и 2 штуки mAP L-2nD
    Все устройства работали на самой свежей RC-версии RouterOS на данный момент - 6.43rc45
    На RB2011 версия Factory Firmware была 3.08, а на mAP - 3.33

    Так вот сабжевое обновление Factory Firmware получилось проделать всего за один шаг, без отката версии RouterOS.
    В \Files Микротика закинул одновременно два файла:
    protected_routerboot_v3_41_enable_6_40_mipsbe.dpk + ar9344_3.41.fwf для RB2011, и protected_routerboot_v3_41_enable_6_40_mipsbe.dpk + qca9531L_3.41.fwf для mAP соответственно.
    Далее после System->Reboot Микротик перезагружается, после чего Factory Firmware и Current Firmware одновременно получили версию 3.41.
    Затем в окне Routerboard Микротик сам, как обычно, предложил обновить Current Firmware до текущей версии равной версии RouterOS. После нажатия Upgrade и еще одной перезагрузки Current Firmware обновилась, а Factory Firmware так и осталась версии 3.41.

    Разница в манипуляциях с RB2011 и mAP была только в том, что с mAP вышеназваные два файла после первой перезагрузки сами удалились из \Files, а в RB2011 их пришлось удалить ручками.

    Прошу прощения за некоторое ламерство, так как на данном жизненном этапе Микротики использую только дома, хотя несколько лет назад работал в Интернет-провайдере, и там имел с ними дело.
    1. DmitryAVET
      DmitryAVET Создатель 31 июля 2018 14:59
      + 0 -
      Здравствуйте. На разных платформах может отличаться. MIPSBE подобным образом обновляться не захотел.

      Также пробовал на RB750Gr3 (MMIPS, mt7621L). закидывал protected_routerboot_v3_41_enable_6_40_mmips.dpk + mt7621L_3.41.fwf, после ребута файлы пропали. Factory как был 3.33, так и остался...

      Повторил эксперимент для hAP lite (SMIPS, factory 3.22 / current 6.42.1 / upgrade 6.42.5). Закинул 2 файла, после ребута предложило понизить Current до 3.41.

      После ребута текущая стала 3.41, factory осталась прежней 3.22. Ни один из файлов не удалился. Руками удалил FWF, еще раз перезагрузился - без изменений, 3.22.

Автоматическая проверка обновлений RouterOS, уведомление о новых версиях при

Ранее мы уже неоднократно говорили о необходимости своевременного обновления программного обеспечения Mikrotik. Иногда в RouterOS встречаются...

Критический баг RouterOS версий 6.29-6.42 позволяет получить логин и пароль

Не успели Mikrotik пофиксить уязвимость SMB и веб-сервера, как всплыл очередной, на этот раз, критический баг, позволяющий злоумышленнику получить...

В разработке: подробности грядущего обновления RouterOS v6.42

Команда Mikrotik продолжает работу над подготовкой очередного обновления RouterOS до версии 6.42. Более подробную информацию обо всех изменениях вы...

Ограниченное предложение от Mikrotik: бесплатное обновление лицензии wAP 60G

Представитель команды поддержки Mikrotik в одном из анонсов официального комьюнити проинформировал сообщество о возможности апгрейда лицензии wAP 60G...

Настройка Loop Protect в RouterOS на маршрутизаторах Mikrotik

В одной из предыдущих публикаций про обновление RouterOS 6.37 я уже упоминал про добавление функции Loop Protect. Если быть точнее, Loop Protect...

Mikrotik: обновление загрузчика RouterBOOT в устройствах RouterBOARD, список

RouterBOOT – специальный загрузчик, который отвечает за запуск операционной системы RouterOS на устройствах RouterBOARD компании Mikrotik. На самом...


авторизация на сайте

Войти при помощи Вконтакте Войти при помощи Facebook Войти при помощи Google+ Войти при помощи Яндекс
Забыли пароль?