MikroTik обновление прошивки RouterOS
Содержание
- 1 MikroTik обновление прошивки RouterOS
- 1.1 MikroTik обновление прошивки RouterOS
- 1.2 Настройка IGMP Proxy
- 1.3 Перехват пакетов на Mikrotik
- 1.4 Пользователи и группы
- 1.5 Безопасность
- 1.6 Реанимация MikroTik (RouterOS) с помощью NetInstall
- 1.7 Инструкция по настройке 3G/4G модема в режиме работы RNDIS на примере Huawei E3372
- 1.8 Настройка очередей
MikroTik обновление прошивки RouterOS
В этой статье мы узнаем как выполнить обновление прошивки роутеров латвийской компании Mikrotik.
Все маршрутизаторы этого производителя — и домашняя серия, и серьезные промышленные продукты — работают под управлением унифицированной операционной системы RouterOS. RouterOS обладает огромным количеством гибких настроек — именно за это пользователи любят эту систему.
Как и любой программный продукт, ОС необходимо периодически обновлять. Обновления исправляют ошибки текущего функционала, закрывают бреши в безопасности, вносят изменения в логику работы конфигурации, добавляют новые функции. Бывает, что из-за частых перепадов напряжения устройство выходит из строя — установка обновления поможет исправить ошибку.
Обновление прошивки Mikrotik можно сделать несколькими способами:
- графический интерфейс — программа Winbox;
- командная строка — console.
Важно! Перед тем, как начать процесс обновления прошивки, нужно сохранить конфигурацию MikroTik! Если после обновления роутер будет работать неправильно, бэкап поможет вернуть устройство в изначальное состояние.
- Обновления пакетов
- Как узнать архитектуру роутера
- Ручное обновление Mikrotik
- Где найти релизы RouterOS
- Приступаем к обновлению Mikrotik
- Автоматическое обновление Mikrotik через интернет
- Автоматическое обновление прошивки при помощи скриптов
- Downgrade. Установка предыдущей конфигурации RouterOS
- Обновление RouterBoot в Mikrotik
- Ручное обновление RouterBoot
- Автоматическое обновление RouterBoot
Настройка IGMP Proxy
Выполним настройку IGMP Proxy на MikroTik.
Откройте меню Routing — IGMP Proxy и нажмите синий плюсик, чтобы указать на какой порт приходит IPTV.
В выпадающем списке Interface выберите WAN порт, к которому подключен кабель интернет провайдера и поставьте галочку Upstream.
В поле Alternative Subnets укажите подсеть стриммеров. Если вы не знаете данные подсети, то попробуйте указать: 10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16.
Я настраивал IPTV для Maxnet, и у меня все заработало c Alternative Subnets 0.0.0.0/0. Но так лучше не делать. Используйте 0.0.0.0/0 только если не смогли найти необходимую подсеть.
После ввода параметров нажмите кнопку OK.
Еще раз нажмите синий плюсик, чтобы указать на какие порты передавать IPTV.
В выпадающем списке Interface выберите порт, на который нужно пробросить IPTV, и нажмите кнопку OK. В Interface желательно указывать один конкретный порт, чтобы не было проблем с производительностью роутера.
Нажмите кнопку Settings и поставьте галочку напротив Quick Liave. Это позволит быстро переключаться между каналами.
Перехват пакетов на Mikrotik
3 минуты чтения
Привет, Мир! Сейчас расскажем об одном полезном методе траблшутинга и поиска проблем на роутерах MikroTik. Суть данного метода заключается в том, чтобы отлавливать (“сниффить”) пакеты, проходящие через определённые интерфейсы нашего роутера и анализировать их сразу же при помощи Wireshark.
Prerequisites
Итак, для того, чтобы воспользоваться данным методом нам понадобится:
- Роутер MikroTik (в нашем случае использовался RB951Ui-2HnD с версией прошивки RouterOS 6.40.2 )
- Программа Wireshark (в нашем случае версия 2.4.1)
- Компьютер или сервер, находящийся в одной сети с роутером с запущенным Wireshark’ом
Настройка
Первым делом открываем Wireshark, выбираем интерфейс, на котором хотим “сниффить” (в нашем случае это Ethernet, то есть интерфейс, с помощью которого компьютер подключается к роутеру) и устанавливаем следующий фильтр — udp port 37008. Как показано на рисунке:
Понятно, что если мы запустим захват пакетов без этого фильтра, то нам просто вывалится весь трафик, который проходит через этот интерфейс, а мы этого не хотим.
Что же это за фильтр такой и что за порт — 37008? Дело в том, что MikroTik шлёт UDP дэйтаграммы, то есть весь перехваченный трафик, именно на этот порт streaming server’а, а в качестве этого стриминг сервера, как вы могли догадаться, у нас выступает наш компьютер с запущенным Wireshark’ом. Эти пакеты инкапсулируются по протоколу TZSP (TaZmen Sniffer Protocol), который используется для переноса в себе других протоколов.
Итак, запускаем перехват пакетов на определённом интерфейсе с фильтром udp port 37008 и видим, что ничего не происходит и пакетов нет.
А теперь самое интересное – подключаемся к MikroTik’у через WinBox, переходим в раздел Tools далее Packet Sniffer и видим следующее окно с настройками:
На вкладке General можем оставить всё по умолчанию, переходим на вкладку Streaming:
Ставим галочку в Streaming Enabled, в поле Server указываем IP адрес нашего компьютера, на котором запустили Wireshark и ставим галочку на Filter Stream, чтобы активировать фильтр, который будет настраиваться на следующей вкладке — Filter
На данной вкладке мы можем отфильтровать интересующий нас трафик. Например, у нас в сети есть IP-АТС Asterisk и мы хотим посмотреть, какие пакеты он получает и отправляет через роутер MikroTik. Так, например, можно отследить коммуникацию IP-АТС с сервером провайдера VoIP услуг.
Итак, выбираем интерфейсы, на которых хотим отлавливать пакеты (в нашем случае это bridge), далее отфильтруем трафик по определённому IP-адресу в поле IP Address (Наша IP-АТС), укажем протокол — 17 (udp) и порт 5060 (sip). Направление укажем любое — any и Filter Operation = or , то есть логика работы данного фильтра – “или”. Если вы хотите отлавливать пакеты только по жёстко определённому фильтру, то логику следует указать and, то есть – совпадение всех условий фильтра.
Далее нажимаем Apply и Start и видим, что сниффер перешёл в статус “running”
Отлично, теперь отправляемся в Wireshark и видим, что он нам уже наловил нужных пакетов в соответствии с правилами фильтра.
В нашем случае – это коммуникация IP-АТС Asterisk с сервером провайдера VoIP услуг, запрос на регистрацию и подтверждение с обратной стороны. Обратите внимание, что тип инкапсуляции — TZSP, однако, Wireshark смог правильно деинкапсулировать эти пакеты и отобразить нам пакеты SIP.
Пользователи и группы
Если ИТ-отдел в твоей компании большой, в нем наверняка есть разделение ролей и обязанностей. К примеру, сотруднику техподдержки ни к чему права на создание VPN-соединений или просмотр пароля Wi-Fi, в то время как сетевики, естественно, должны иметь к ним доступ. RouterOS имеет достаточно гибкий механизм распределения прав. Права назначаются в группах, затем в нужную группу добавляется юзер. Управление группами доступно в меню System → Users, а также с помощью команды /user group .
Управление группами
Рассмотрим права групп подробнее:
- telnet, ssh, ftp, winbox, web, api, romon, dude, tikapp — понятны по названию. Разрешают юзеру подключаться по указанным протоколам;
- local — открывает доступ к роутеру через консоль. При отключении также заберет право открывать терминал внутри Winbox;
- reboot — право на перезагрузку;
- read, write — права на чтение или запись;
- sniff — права на исполнение встроенного аналога tcpdump (tools → sniffer);
- test — запуск инструментов траблшутинга (ping, traceroute, bandwidth-test, wireless scan, snooper);
- password — право менять собственный пароль;
- policy — право управлять учетными записями и группами.
Чувствительные данные
На группе настроек sensitive остановимся чуть подробнее. В RouterOS определены так называемые чувствительные данные. К ним относятся ключи Wi-Fi, IPSec, SNMP, пароли VPN-интерфейсов и серверов, пароли протоколов маршрутизации и другая информация, влияющая на безопасность.
В меню окна Winbox в разделе Settings есть флажок Hide Sensitive. Когда он включен, эта чувствительная информация закрыта звездочками и в терминале ее тоже не видно. Эдакая защита от разглашения паролей. С отключенной опцией Sensitive в настройках группы этот чекбокс не снимается, то есть право Sensitive разрешает пользователю видеть введенные пароли.
Право Sensitive разрешает пользователю видеть введенные пароли
Безопасность
Прежде, чем перейти к дальнейшей настройке, необходимо защитить устройство от взлома злоумышленниками. Сначала зададим пароль для доступа к устройству. Для этого заходим в раздел System — Password и зададим новый пароль. Поле Old Password оставляем пустым, т.к. изначально пароля не было. Далее необходимо отключить службы, которые Вы не будете в дальнейшем использовать. Заходим в раздел IP — Services. В открывшемся окне отобразятся все службы, через которые возможен удаленный доступ к Вашему устройству. Если Вы не планируете подключаться к роутеру через WEB-интерфейс, используя браузер, отключите все службы, кроме winbox, если планируете, оставьте включенной службу www.
Реанимация MikroTik (RouterOS) с помощью NetInstall
Дата: 29.08.2012
1. Описание NetInstall
NetInstall представляет собой программу для Windows-компьютера, позволяющую устанавливать операционную систему MikroTik RouterOS на ПК или устройство RouterBoard по сети Ethernet.
Данная программа обновляется вместе с RouterOS. Важно помнить, что для получения удовлетворительного результата, необходимо использовать соответствующие друг другу версии ROS и Netinstall.
Распакуйте Netinstall на диск C: (на ряде современных ОС Windows корректная работа программы вне системного диска не гарантируется).
Скачать NetInstall последней версии можно с официального сайта здесь.
NetInstall также используется для переустановки RouterOS в случаях неудачи или повреждении предыдущей установки или при утере паролей доступа.
Ваше устройство должно поддерживать загрузку по сети, также между устройством и компьютером должно быть прямое соединение по сети. Все устройства RouterBoard поддерживают PXE-загрузку по сети, при этом эта опция должна быть включена в меню «routerboard», если RouterOS работоспособна; в противном случае — в настройках загрузчика. Для этого Вам потребуется serial-кабель.
Для устройств RouterBOARD, не имеющих serial-порта, или при отсутствии доступа к RouterOS, режим PXE-загрузки может быть активирован с помощью кнопки Reset. Подробности смотрите в инструкции к вашему устройству в разделе Booting from network. Например PDF для RB750.
NetInstall также позволяет установить RouterOS на диск (USB / CF / IDE), подключенный к Windows-машине с NetInstall. После установки просто подключите диск к роутеру и загрузитесь с него.
2. Интерфейс.
Следующие опции доступны в окне программы NetInstall:
Routers / Drives — список роутеров и дисков ПК, обнаруженных «вблизи» NetInstall
Make floppy — используется для создания загрузочной дискеты (1.44″) для ПК без поддержи технологии Etherboot
Net booting — используется для включения PXE-загрузки по сети (обычно вам необходимо выбрать именно этот пункт)
Install / Cancel — после выбора роутера и пакетов RouterOS, используйте этот пункт для начала установки
SoftID — SoftID, сгенерированный для роутера. Используйте его для приобретения Вашего ключа.
Key / Browse — введите здесь Ваш приобретённый ключ, или оставьте пустым для установки 24-часовой пробной версии
Get key — получить ключ напрямую из вашего аккаунта на mikrotik.com
Flashfig — запуск Flashfig — утилиты множественной конфигурации, работающей с новыми устройствами MikroTik
Keep old configuration — оставляет конфигурацию, которая была на роутере, т.е. просто переустанавливает ПО без сброса настроек
IP address / Netmask — позволяет ввести IP-адрес и маску в нотации CIDR для предварительной настройки в маршрутизаторе
Gateway — стандартный шлюз для предварительной настройки в маршрутизаторе
Baud rate — стандартная скорость передачи данных serial-порта для предварительной настройки в маршрутизаторе
Configure script — файл, содержащий команды RouterOS CLI, которые напрямую настраивают роутер (т.е. команды, создаваемые операцией экспорта). Используется для применения стандартной конфигурации.
3. Скриншот.
Для установки по сети не забудьте включить PXE сервер и проверьте, чтобы NetInstall не блокировался Вашим сетевым экраном и антивирусом. Роутер должен быть напрямую подключен к компьютеру, на которому запущена NetInstall, в крайнем случае через свич/хаб.
4. Пример установки NetInstall
Пошаговый пример установки RouterOS на RouterBOARD 532 с ноутбука.
Требования
Ноутбук должен иметь следующие порты и файлы:
Прим.: Использование ОС GNU/Linux крайне затруднено. Программа Netinstall может быть запущенна при помощи wine, однако требует для работы привилегий администратора, что в свою очередь запрещено политиками использования wine. Допускается использование Netinstall при помощи wine с повышением прав командой sudo настолько быстро, насколько это возможно для завершения процесса установки 🙂 Но такой подход нам не кажется правильным.
— serial-порт [не обязательно]
— программу для serial-связи (например Hyper Terminal) [не обязательно]
— файл(ы) .npk RouterOS (не .zip файл) той версии RouterOS, которую Вы собираетесь установить
— приложение NetInstall (доступно для загрузки на официальном сайте)
Процесс соединения
1. Используя первый, принимающий PoE, порт (или в отдельных случаях специальный порт с надписью BOOT), подключите RouterBOARD к хабу/свичу или напрямую к ноутбуку через Ethernet. Сетевой порт ноутбука должен быть настроен со статическим IP-адресом и маской подсети, к примеру 10.1.1.10/24 (т.е. IP 10.1.1.10 и mask 11111111 11111111 11111111 00000000 или то же самое в десятичном виде 255.255.255.0).
2 [не обязательно]. Подключите RouterBOARD к ноутбуку serial-кабелем и запустите serial-сессию между RouterBOARD и ноутбуком (см. пример такой конфигурации в статье Serial_Console).
3. Запустите приложение NetInstall на ноутбуке.
4. Нажмите кнопку Net booting, поставьте галочку Boot Server enabled и введите корректный IP-адрес (из той же подсети, что и IP-адрес ноутбука, например 10.1.1.5), его NetInstall назначит устройству RouterBOARD для связи с ноутбуком. Затем следуйте нижеследующим инструкциям (выбирайте нужную в зависимости от того, имеет ли Ваше устройство MikroTik COM-порт).
Настройка RouterBOARD
Настройка без COM-порта
Чтобы загрузить RouterBOARD без COM-порта через сеть, используйте кнопку сброса. Подробные инструкции для этого см. в User Guide Вашего RouterBOARD (routerboard.com -> выберите нужную модель -> скачайте UserGuide слева вверху страницы), обычно для этого нужно нажать кнопку сброса, НЕ отпуская её подать питание на устройство и держать ещё примерно 15-20 секунд (если у Вашей модели есть LCD-экран, то на нём должна появиться надпись netinstall).
К примеру, у RB711U-2HnD кнопка сброса (RES на лицевой панели) имеет две функции — сброс конфигурации RouterOS и загрузка по сети (Etherboot): подключите кабель от ПК с NetInstall в порт ether1 и долго удерживайте эту кнопку во время загрузки, пока световые индикаторы не погаснут, затем отпустите, и RouterBOARD будет искать серверы NetInstall (не забудьте перед этим настроить программу Netinstall, как описано выше).
Также, Etherboot может быть настроен из-под RouterOS в самом роутере, если к ней есть доступ, для этого введите в терминал команду
Настройка с COM-портом
Для доступа к конфигурации BIOS роутера, перезагрузите RouterBOARD во время режима наблюдения в serial-консоли. В ней вы увидите строку “Press any key within 2 seconds to enter setup” , указывающую, что в течении двух секунд нажатие любой клавиши даст Вам доступ к опциям настройки BIOS роутера.
После нажатия клавиши Вы увидите следующий список доступных настроек BIOS:
Для настройки загрузочного устройства нажмите клавишу o. Затем нажмите e, чтобы RouterBOARD загружался по сети:
Вы вернётесь в начальное меню. Нажмите клавишу x для выхода.
Удостоверьтесь, что протоколом загрузки является bootp.
Установка
С помощью serial-консоли наблюдайте за перезагрузкой роутера, она покажет, что RouterBOARD попытается загрузиться с помощью программы NetInstall. NetInstall назначит роутеру IP-адрес, который Вы ввели на шаге 4 (10.1.1.5/24), и он станет готов к установке ПО. MAC-адрес роутера должен появиться в списке Routers/Drivers в окне программы NetInstall (если не появился, то попробуйте ещё раз, например попробуйте дольше удерживать кнопку сброса, а также запустите программу Netinstall с правами администратора и отключите сетевой экран).
Кликните на строку роутера, чтобы изменить параметры установки, связанные с этим устройством.
. Для большинства случаев переустановки RouterOS на устройства RouterBOARD Вам будет необходимо установить ТОЛЬКО следующий параметр:
Нажмите клавишу Browse. и в появившемся окне перейдите в папку с .npk-файлом(ами), который(е) Вы хотите установить на RouterBOARD.
Отметьте галочкой нужные пакеты в списке.
После завершения настройки параметров установки, нажмите кнопку Install для начала установки RouterOS.
Прим.: Если после нажатия кнопки Install в статусе соединения отображается надпись Sending offer, а процесс загрузки файла не начинается, перезапустите программу Netinstall еще раз — устройство должно снова появится без необходимости повторения процедуры соединения (т.е. не трогая маршрутизатор).
Когда установка будет закончена, устройство перезагрузится, если этого не произошло, нажмите Enter в консоли или кнопку Reboot в программе NetInstall.
Возвращаем прежние настройки (если Вы раньше использовали Serial-подключение)
1. Настраиваем RouterBOARD на загрузку со встроенной памяти (см. начало пункта 4):
2. Перезагружаем устройство.
Дополнительно: сброс пароля RouterOS
NetInstall может также использоваться для сброса пароля в RouterOS устройства путём стирания всех конфигурационных настроек из RouterBOARD. Для этого нужно повторить все вышеперечисленные шаги пункта 4, но на этапе настройки параметров установки RouterOS снять галочку «Keep Old Configuration» и продолжить как обычно.
Инструкция по настройке 3G/4G модема в режиме работы RNDIS на примере Huawei E3372
Подготовка к настройкам
Для установки драйверов на Wi-Fi Магните должно быть интернет соединение. Подсоедините провод из порта LAN Wi-Fi Магнита в ваш компьютер и подключитесь по ssh (например, через приложение puTTY) на ip-адрес Wi-Fi Магнита (по умолчанию 192.168.1.1).
Посмотреть ip-адрес Wi-Fi Магнита можно в свойствах сетевого адаптера, либо в командной строке Windows, выполнив команду ipconfig /all.
Установка пакетов/драйверов через ssh
Подключаем 3G/4G модем в Mikrotik в USB-порт. Выполняем команду обновления списка доступных пакетов в OpenWRT.
Выполните установку необходимых пакетов для работы модема
Устанавливаем утилиту usbutils.
Для отображения информации о шинах USB и подключенных устройствах выполняем команду lsusb
Модем определился как Huawei Technologies Co., Ltd. E353/E3131 (Mass storage mode)
Смотрим на каком интерфейсе находится 3g/4g модем
В нашем случае это интерфейс eth2
Добавление модема в Web интерфейсе OpenWRT
Заходим в web интерфейс OpenWRT. Для этого в адресной строке браузера вбиваем ip-адрес Wi-Fi Магнита (тот же самый, на который мы подключись по ssh через приложение puTTY).
Указываем логин root, пароль оставляем пустым. Переходим в раздел Network/Interfaces, выбираем Add new interface.
Указываем имя интерфейса, в графе Protokol выбираем DHCP Client, в графе Interface выбираем eth2 и подтверждаем Create interface.
Переходим в Firewall Settings, указываем WAN зону и нажимаем Save. После OpenWRT применит параметры и снова откроет предыдущие меню.
Сохраняем и применяем.
Если все сделано правильно, то модем выдаст ip адрес 192.168.8.100/24.
Для финальной проверки необходимо отключить от сенсора все сетевые кабели и отключить кабель питания от устройства на 10 секунд.
После этого подключить питание обратно и проверить статус устройства в ЛК, в разделе Wi-Fi Magnit —> Сенсоры. Устройство должно иметь статус «В сети».
Настройка очередей
- Создаем очереди пакетов
Для построения иерархии очередей используется механизм «Queue Tree»
Добавляем следующие очереди:
Name in
Parent global-out
Max Limit 4500k
Name def-in
Parent in
Packet Marks def_in
Max Limit 4500k
Name voip-in
Parent in
Packet Marks voip_in
Priority 1
Limit At 1M
Max Limit 2M
Name out
Parent global-out
Max Limit 4500k
Name def-out
Parent out
Packet Marks def_out
Max Limit 4500k
Name voip-out
Parent out
Packet Marks voip_out
Priority 1
Limit At 1M
Max Limit 2M
Обратите внимание на то, что очереди для входящего и исходящего трафика прицеплены к очереди global-out. Маркировка пакетов в цепочке forward и шейпинг в очереди global-out обеспечивают правильную работу QoS при использовании NAT.
Для работы QoS максимальная пропускная способность (Max Limit) корневых очередей ( у нас — in и out) должна быть ниже гарантированной пропускной способности канала. Обычно от прпускной способности канала отнимают 10%, если QoS не работает должным образом, значение следует понизить еще.
Значение «Limit At» — гарантированная пропускная способность очереди, но она будет нарушена, если очередям с большим приоритетом не будет хватать скорости.
Для приоритетных очередей voip-in и voip-out следует задавать значение «Max Limit» ниже максимальной пропускной способности корневой очереди, иначе весь канал будет занят, когда, к примеру, хост Asterisk будет выкачивать пакеты.
Из консоли это делается так:
/queue tree
add name=in parent=global-out max-limit=4500k
add name=def-in parent=in packet-mark=def_in max-limit=4500k
add name=voip-in parent=in packet-mark=voip_in priority=1 limit-at=1M max-limit=2M
add name=out parent=global-out max-limit=4500k
add name=def-out parent=out packet-mark=def_out max-limit=4500k
add name=voip-out parent=out packet-mark=voip_out priority=1 limit-at=1M max-limit=2M
Теперь VoIP-трафик имеет гарантированную пропускную способность в 1 Мбит/с, но не более 2 Мбит/с, а вся незанятая пропускная способность может быть использована остальным трафиком. Можно включать торренты и тестировать связь, при правильной настройке качество должно быть идеальным даже при полной загрузке канала. Таким же образом можно приоритезировать ICMP, DNS, HTTP, NTP и другой трафик, используя номер порта, номер протокола или маркировку соединения.