MikroTik обновление прошивки RouterOS

MikroTik обновление прошивки RouterOS

В этой статье мы узнаем как выполнить обновление прошивки роутеров латвийской компании Mikrotik.

Все маршрутизаторы этого производителя — и домашняя серия, и серьезные промышленные продукты — работают под управлением унифицированной операционной системы RouterOS. RouterOS обладает огромным количеством гибких настроек — именно за это пользователи любят эту систему.

Как и любой программный продукт, ОС необходимо периодически обновлять. Обновления исправляют ошибки текущего функционала, закрывают бреши в безопасности, вносят изменения в логику работы конфигурации, добавляют новые функции. Бывает, что из-за частых перепадов напряжения устройство выходит из строя — установка обновления поможет исправить ошибку.

Обновление прошивки Mikrotik можно сделать несколькими способами:

• графический интерфейс — программа Winbox;
• командная строка — console.

Важно! Перед тем, как начать процесс обновления прошивки, нужно сохранить конфигурацию MikroTik! Если после обновления роутер будет работать неправильно, бэкап поможет вернуть устройство в изначальное состояние.

1. Обновления пакетов
2. Как узнать архитектуру роутера
3. Ручное обновление Mikrotik
4. Где найти релизы RouterOS
5. Приступаем к обновлению Mikrotik
6. Автоматическое обновление Mikrotik через интернет
7. Автоматическое обновление прошивки при помощи скриптов
8. Downgrade. Установка предыдущей конфигурации RouterOS
9. Обновление RouterBoot в Mikrotik
10. Ручное обновление RouterBoot
11. Автоматическое обновление RouterBoot

Настройка IGMP Proxy

Выполним настройку IGMP Proxy на MikroTik.

Откройте меню Routing — IGMP Proxy и нажмите синий плюсик, чтобы указать на какой порт приходит IPTV.

В выпадающем списке Interface выберите WAN порт, к которому подключен кабель интернет провайдера и поставьте галочку Upstream.

В поле Alternative Subnets укажите подсеть стриммеров. Если вы не знаете данные подсети, то попробуйте указать: 10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16.

Я настраивал IPTV для Maxnet, и у меня все заработало c Alternative Subnets 0.0.0.0/0. Но так лучше не делать. Используйте 0.0.0.0/0 только если не смогли найти необходимую подсеть.

После ввода параметров нажмите кнопку OK.

Еще раз нажмите синий плюсик, чтобы указать на какие порты передавать IPTV.

В выпадающем списке Interface выберите порт, на который нужно пробросить IPTV, и нажмите кнопку OK. В Interface желательно указывать один конкретный порт, чтобы не было проблем с производительностью роутера.

Нажмите кнопку Settings и поставьте галочку напротив Quick Liave. Это позволит быстро переключаться между каналами.

Перехват пакетов на Mikrotik

3 минуты чтения

Привет, Мир! Сейчас расскажем об одном полезном методе траблшутинга и поиска проблем на роутерах MikroTik. Суть данного метода заключается в том, чтобы отлавливать (“сниффить”) пакеты, проходящие через определённые интерфейсы нашего роутера и анализировать их сразу же при помощи Wireshark.

Prerequisites

Итак, для того, чтобы воспользоваться данным методом нам понадобится:

• Роутер MikroTik (в нашем случае использовался RB951Ui-2HnD с версией прошивки RouterOS 6.40.2 )
• Программа Wireshark (в нашем случае версия 2.4.1)
• Компьютер или сервер, находящийся в одной сети с роутером с запущенным Wireshark’ом

Настройка

Первым делом открываем Wireshark, выбираем интерфейс, на котором хотим “сниффить” (в нашем случае это Ethernet, то есть интерфейс, с помощью которого компьютер подключается к роутеру) и устанавливаем следующий фильтр — udp port 37008. Как показано на рисунке:

Понятно, что если мы запустим захват пакетов без этого фильтра, то нам просто вывалится весь трафик, который проходит через этот интерфейс, а мы этого не хотим.

Что же это за фильтр такой и что за порт — 37008? Дело в том, что MikroTik шлёт UDP дэйтаграммы, то есть весь перехваченный трафик, именно на этот порт streaming server’а, а в качестве этого стриминг сервера, как вы могли догадаться, у нас выступает наш компьютер с запущенным Wireshark’ом. Эти пакеты инкапсулируются по протоколу TZSP (TaZmen Sniffer Protocol), который используется для переноса в себе других протоколов.

Итак, запускаем перехват пакетов на определённом интерфейсе с фильтром udp port 37008 и видим, что ничего не происходит и пакетов нет.

А теперь самое интересное – подключаемся к MikroTik’у через WinBox, переходим в раздел Tools далее Packet Sniffer и видим следующее окно с настройками:

На вкладке General можем оставить всё по умолчанию, переходим на вкладку Streaming:

Ставим галочку в Streaming Enabled, в поле Server указываем IP адрес нашего компьютера, на котором запустили Wireshark и ставим галочку на Filter Stream, чтобы активировать фильтр, который будет настраиваться на следующей вкладке — Filter

На данной вкладке мы можем отфильтровать интересующий нас трафик. Например, у нас в сети есть IP-АТС Asterisk и мы хотим посмотреть, какие пакеты он получает и отправляет через роутер MikroTik. Так, например, можно отследить коммуникацию IP-АТС с сервером провайдера VoIP услуг.

Итак, выбираем интерфейсы, на которых хотим отлавливать пакеты (в нашем случае это bridge), далее отфильтруем трафик по определённому IP-адресу в поле IP Address (Наша IP-АТС), укажем протокол — 17 (udp) и порт 5060 (sip). Направление укажем любое — any и Filter Operation = or , то есть логика работы данного фильтра – “или”. Если вы хотите отлавливать пакеты только по жёстко определённому фильтру, то логику следует указать and, то есть – совпадение всех условий фильтра.

Далее нажимаем Apply и Start и видим, что сниффер перешёл в статус “running”

Отлично, теперь отправляемся в Wireshark и видим, что он нам уже наловил нужных пакетов в соответствии с правилами фильтра.

В нашем случае – это коммуникация IP-АТС Asterisk с сервером провайдера VoIP услуг, запрос на регистрацию и подтверждение с обратной стороны. Обратите внимание, что тип инкапсуляции — TZSP, однако, Wireshark смог правильно деинкапсулировать эти пакеты и отобразить нам пакеты SIP.

Пользователи и группы

Если ИТ-отдел в твоей компании большой, в нем наверняка есть разделение ролей и обязанностей. К примеру, сотруднику техподдержки ни к чему права на создание VPN-соединений или просмотр пароля Wi-Fi, в то время как сетевики, естественно, должны иметь к ним доступ. RouterOS имеет достаточно гибкий механизм распределения прав. Права назначаются в группах, затем в нужную группу добавляется юзер. Управление группами доступно в меню System → Users, а также с помощью команды /user group .

Управление группами

Рассмотрим права групп подробнее:

• telnet, ssh, ftp, winbox, web, api, romon, dude, tikapp — понятны по названию. Разрешают юзеру подключаться по указанным протоколам;
• local — открывает доступ к роутеру через консоль. При отключении также заберет право открывать терминал внутри Winbox;
• reboot — право на перезагрузку;
• read, write — права на чтение или запись;
• sniff — права на исполнение встроенного аналога tcpdump (tools → sniffer);
• test — запуск инструментов траблшутинга (ping, traceroute, bandwidth-test, wireless scan, snooper);
• password — право менять собственный пароль;
• policy — право управлять учетными записями и группами.

Чувствительные данные

На группе настроек sensitive остановимся чуть подробнее. В RouterOS определены так называемые чувствительные данные. К ним относятся ключи Wi-Fi, IPSec, SNMP, пароли VPN-интерфейсов и серверов, пароли протоколов маршрутизации и другая информация, влияющая на безопасность.

В меню окна Winbox в разделе Settings есть флажок Hide Sensitive. Когда он включен, эта чувствительная информация закрыта звездочками и в терминале ее тоже не видно. Эдакая защита от разглашения паролей. С отключенной опцией Sensitive в настройках группы этот чекбокс не снимается, то есть право Sensitive разрешает пользователю видеть введенные пароли.

Право Sensitive разрешает пользователю видеть введенные пароли

Безопасность

Прежде, чем перейти к дальнейшей настройке, необходимо защитить устройство от взлома злоумышленниками. Сначала зададим пароль для доступа к устройству. Для этого заходим в раздел System — Password и зададим новый пароль. Поле Old Password оставляем пустым, т.к. изначально пароля не было. Далее необходимо отключить службы, которые Вы не будете в дальнейшем использовать. Заходим в раздел IP — Services. В открывшемся окне отобразятся все службы, через которые возможен удаленный доступ к Вашему устройству. Если Вы не планируете подключаться к роутеру через WEB-интерфейс, используя браузер, отключите все службы, кроме winbox, если планируете, оставьте включенной службу www.

Реанимация MikroTik (RouterOS) с помощью NetInstall

Дата: 29.08.2012

1. Описание NetInstall

NetInstall представляет собой программу для Windows-компьютера, позволяющую устанавливать операционную систему MikroTik RouterOS на ПК или устройство RouterBoard по сети Ethernet.

Данная программа обновляется вместе с RouterOS. Важно помнить, что для получения удовлетворительного результата, необходимо использовать соответствующие друг другу версии ROS и Netinstall.

Распакуйте Netinstall на диск C: (на ряде современных ОС Windows корректная работа программы вне системного диска не гарантируется).

Скачать NetInstall последней версии можно с официального сайта здесь.

NetInstall также используется для переустановки RouterOS в случаях неудачи или повреждении предыдущей установки или при утере паролей доступа.

Ваше устройство должно поддерживать загрузку по сети, также между устройством и компьютером должно быть прямое соединение по сети. Все устройства RouterBoard поддерживают PXE-загрузку по сети, при этом эта опция должна быть включена в меню «routerboard», если RouterOS работоспособна; в противном случае — в настройках загрузчика. Для этого Вам потребуется serial-кабель.

Для устройств RouterBOARD, не имеющих serial-порта, или при отсутствии доступа к RouterOS, режим PXE-загрузки может быть активирован с помощью кнопки Reset. Подробности смотрите в инструкции к вашему устройству в разделе Booting from network. Например PDF для RB750.

NetInstall также позволяет установить RouterOS на диск (USB / CF / IDE), подключенный к Windows-машине с NetInstall. После установки просто подключите диск к роутеру и загрузитесь с него.

2. Интерфейс.

Следующие опции доступны в окне программы NetInstall:

Routers / Drives — список роутеров и дисков ПК, обнаруженных «вблизи» NetInstall

Make floppy — используется для создания загрузочной дискеты (1.44″) для ПК без поддержи технологии Etherboot

Net booting — используется для включения PXE-загрузки по сети (обычно вам необходимо выбрать именно этот пункт)

Install / Cancel — после выбора роутера и пакетов RouterOS, используйте этот пункт для начала установки

SoftID — SoftID, сгенерированный для роутера. Используйте его для приобретения Вашего ключа.

Key / Browse — введите здесь Ваш приобретённый ключ, или оставьте пустым для установки 24-часовой пробной версии

Get key — получить ключ напрямую из вашего аккаунта на mikrotik.com

Flashfig — запуск Flashfig — утилиты множественной конфигурации, работающей с новыми устройствами MikroTik

Keep old configuration — оставляет конфигурацию, которая была на роутере, т.е. просто переустанавливает ПО без сброса настроек

IP address / Netmask — позволяет ввести IP-адрес и маску в нотации CIDR для предварительной настройки в маршрутизаторе

Gateway — стандартный шлюз для предварительной настройки в маршрутизаторе

Baud rate — стандартная скорость передачи данных serial-порта для предварительной настройки в маршрутизаторе

Configure script — файл, содержащий команды RouterOS CLI, которые напрямую настраивают роутер (т.е. команды, создаваемые операцией экспорта). Используется для применения стандартной конфигурации.

3. Скриншот.

Для установки по сети не забудьте включить PXE сервер и проверьте, чтобы NetInstall не блокировался Вашим сетевым экраном и антивирусом. Роутер должен быть напрямую подключен к компьютеру, на которому запущена NetInstall, в крайнем случае через свич/хаб.

4. Пример установки NetInstall

Пошаговый пример установки RouterOS на RouterBOARD 532 с ноутбука.

Требования

Ноутбук должен иметь следующие порты и файлы:

Прим.: Использование ОС GNU/Linux крайне затруднено. Программа Netinstall может быть запущенна при помощи wine, однако требует для работы привилегий администратора, что в свою очередь запрещено политиками использования wine. Допускается использование Netinstall при помощи wine с повышением прав командой sudo настолько быстро, насколько это возможно для завершения процесса установки 🙂 Но такой подход нам не кажется правильным.

— serial-порт [не обязательно]

— программу для serial-связи (например Hyper Terminal) [не обязательно]

— файл(ы) .npk RouterOS (не .zip файл) той версии RouterOS, которую Вы собираетесь установить

— приложение NetInstall (доступно для загрузки на официальном сайте)

Процесс соединения

1. Используя первый, принимающий PoE, порт (или в отдельных случаях специальный порт с надписью BOOT), подключите RouterBOARD к хабу/свичу или напрямую к ноутбуку через Ethernet. Сетевой порт ноутбука должен быть настроен со статическим IP-адресом и маской подсети, к примеру 10.1.1.10/24 (т.е. IP 10.1.1.10 и mask 11111111 11111111 11111111 00000000 или то же самое в десятичном виде 255.255.255.0).

2 [не обязательно]. Подключите RouterBOARD к ноутбуку serial-кабелем и запустите serial-сессию между RouterBOARD и ноутбуком (см. пример такой конфигурации в статье Serial_Console).

3. Запустите приложение NetInstall на ноутбуке.

4. Нажмите кнопку Net booting, поставьте галочку Boot Server enabled и введите корректный IP-адрес (из той же подсети, что и IP-адрес ноутбука, например 10.1.1.5), его NetInstall назначит устройству RouterBOARD для связи с ноутбуком. Затем следуйте нижеследующим инструкциям (выбирайте нужную в зависимости от того, имеет ли Ваше устройство MikroTik COM-порт).

Настройка RouterBOARD

Настройка без COM-порта

Чтобы загрузить RouterBOARD без COM-порта через сеть, используйте кнопку сброса. Подробные инструкции для этого см. в User Guide Вашего RouterBOARD (routerboard.com -> выберите нужную модель -> скачайте UserGuide слева вверху страницы), обычно для этого нужно нажать кнопку сброса, НЕ отпуская её подать питание на устройство и держать ещё примерно 15-20 секунд (если у Вашей модели есть LCD-экран, то на нём должна появиться надпись netinstall).

К примеру, у RB711U-2HnD кнопка сброса (RES на лицевой панели) имеет две функции — сброс конфигурации RouterOS и загрузка по сети (Etherboot): подключите кабель от ПК с NetInstall в порт ether1 и долго удерживайте эту кнопку во время загрузки, пока световые индикаторы не погаснут, затем отпустите, и RouterBOARD будет искать серверы NetInstall (не забудьте перед этим настроить программу Netinstall, как описано выше).

Также, Etherboot может быть настроен из-под RouterOS в самом роутере, если к ней есть доступ, для этого введите в терминал команду

Настройка с COM-портом

Для доступа к конфигурации BIOS роутера, перезагрузите RouterBOARD во время режима наблюдения в serial-консоли. В ней вы увидите строку “Press any key within 2 seconds to enter setup” , указывающую, что в течении двух секунд нажатие любой клавиши даст Вам доступ к опциям настройки BIOS роутера.

После нажатия клавиши Вы увидите следующий список доступных настроек BIOS:

Для настройки загрузочного устройства нажмите клавишу o. Затем нажмите e, чтобы RouterBOARD загружался по сети:

Вы вернётесь в начальное меню. Нажмите клавишу x для выхода.

Удостоверьтесь, что протоколом загрузки является bootp.

Установка

С помощью serial-консоли наблюдайте за перезагрузкой роутера, она покажет, что RouterBOARD попытается загрузиться с помощью программы NetInstall. NetInstall назначит роутеру IP-адрес, который Вы ввели на шаге 4 (10.1.1.5/24), и он станет готов к установке ПО. MAC-адрес роутера должен появиться в списке Routers/Drivers в окне программы NetInstall (если не появился, то попробуйте ещё раз, например попробуйте дольше удерживать кнопку сброса, а также запустите программу Netinstall с правами администратора и отключите сетевой экран).

Кликните на строку роутера, чтобы изменить параметры установки, связанные с этим устройством.

. Для большинства случаев переустановки RouterOS на устройства RouterBOARD Вам будет необходимо установить ТОЛЬКО следующий параметр:

Нажмите клавишу Browse. и в появившемся окне перейдите в папку с .npk-файлом(ами), который(е) Вы хотите установить на RouterBOARD.

Отметьте галочкой нужные пакеты в списке.

После завершения настройки параметров установки, нажмите кнопку Install для начала установки RouterOS.

Прим.: Если после нажатия кнопки Install в статусе соединения отображается надпись Sending offer, а процесс загрузки файла не начинается, перезапустите программу Netinstall еще раз — устройство должно снова появится без необходимости повторения процедуры соединения (т.е. не трогая маршрутизатор).

Когда установка будет закончена, устройство перезагрузится, если этого не произошло, нажмите Enter в консоли или кнопку Reboot в программе NetInstall.

Возвращаем прежние настройки (если Вы раньше использовали Serial-подключение)

1. Настраиваем RouterBOARD на загрузку со встроенной памяти (см. начало пункта 4):

2. Перезагружаем устройство.

Дополнительно: сброс пароля RouterOS

NetInstall может также использоваться для сброса пароля в RouterOS устройства путём стирания всех конфигурационных настроек из RouterBOARD. Для этого нужно повторить все вышеперечисленные шаги пункта 4, но на этапе настройки параметров установки RouterOS снять галочку «Keep Old Configuration» и продолжить как обычно.

Инструкция по настройке 3G/4G модема в режиме работы RNDIS на примере Huawei E3372

Подготовка к настройкам

Для установки драйверов на Wi-Fi Магните должно быть интернет соединение. Подсоедините провод из порта LAN Wi-Fi Магнита в ваш компьютер и подключитесь по ssh (например, через приложение puTTY) на ip-адрес Wi-Fi Магнита (по умолчанию 192.168.1.1).

Посмотреть ip-адрес Wi-Fi Магнита можно в свойствах сетевого адаптера, либо в командной строке Windows, выполнив команду ipconfig /all.

Установка пакетов/драйверов через ssh

Подключаем 3G/4G модем в Mikrotik в USB-порт. Выполняем команду обновления списка доступных пакетов в OpenWRT.

Выполните установку необходимых пакетов для работы модема

Устанавливаем утилиту usbutils.

Для отображения информации о шинах USB и подключенных устройствах выполняем команду lsusb

Модем определился как Huawei Technologies Co., Ltd. E353/E3131 (Mass storage mode)

Смотрим на каком интерфейсе находится 3g/4g модем

В нашем случае это интерфейс eth2

Добавление модема в Web интерфейсе OpenWRT

Заходим в web интерфейс OpenWRT. Для этого в адресной строке браузера вбиваем ip-адрес Wi-Fi Магнита (тот же самый, на который мы подключись по ssh через приложение puTTY).

Указываем логин root, пароль оставляем пустым. Переходим в раздел Network/Interfaces, выбираем Add new interface.

Указываем имя интерфейса, в графе Protokol выбираем DHCP Client, в графе Interface выбираем eth2 и подтверждаем Create interface.

Переходим в Firewall Settings, указываем WAN зону и нажимаем Save. После OpenWRT применит параметры и снова откроет предыдущие меню.

Сохраняем и применяем.

Если все сделано правильно, то модем выдаст ip адрес 192.168.8.100/24.

Для финальной проверки необходимо отключить от сенсора все сетевые кабели и отключить кабель питания от устройства на 10 секунд.

После этого подключить питание обратно и проверить статус устройства в ЛК, в разделе Wi-Fi Magnit —> Сенсоры. Устройство должно иметь статус «В сети».

Настройка очередей

1. Создаем очереди пакетов

Для построения иерархии очередей используется механизм «Queue Tree»

Добавляем следующие очереди:

Name in
Parent global-out
Max Limit 4500k

Name def-in
Parent in
Packet Marks def_in
Max Limit 4500k

Name voip-in
Parent in
Packet Marks voip_in
Priority 1
Limit At 1M
Max Limit 2M

Name out
Parent global-out
Max Limit 4500k

Name def-out
Parent out
Packet Marks def_out
Max Limit 4500k

Name voip-out
Parent out
Packet Marks voip_out
Priority 1
Limit At 1M
Max Limit 2M

Обратите внимание на то, что очереди для входящего и исходящего трафика прицеплены к очереди global-out. Маркировка пакетов в цепочке forward и шейпинг в очереди global-out обеспечивают правильную работу QoS при использовании NAT.

Для работы QoS максимальная пропускная способность (Max Limit) корневых очередей ( у нас — in и out) должна быть ниже гарантированной пропускной способности канала. Обычно от прпускной способности канала отнимают 10%, если QoS не работает должным образом, значение следует понизить еще.

Значение «Limit At» — гарантированная пропускная способность очереди, но она будет нарушена, если очередям с большим приоритетом не будет хватать скорости.

Для приоритетных очередей voip-in и voip-out следует задавать значение «Max Limit» ниже максимальной пропускной способности корневой очереди, иначе весь канал будет занят, когда, к примеру, хост Asterisk будет выкачивать пакеты.

Из консоли это делается так:

/queue tree
add name=in parent=global-out max-limit=4500k
add name=def-in parent=in packet-mark=def_in max-limit=4500k
add name=voip-in parent=in packet-mark=voip_in priority=1 limit-at=1M max-limit=2M
add name=out parent=global-out max-limit=4500k
add name=def-out parent=out packet-mark=def_out max-limit=4500k
add name=voip-out parent=out packet-mark=voip_out priority=1 limit-at=1M max-limit=2M

Теперь VoIP-трафик имеет гарантированную пропускную способность в 1 Мбит/с, но не более 2 Мбит/с, а вся незанятая пропускная способность может быть использована остальным трафиком. Можно включать торренты и тестировать связь, при правильной настройке качество должно быть идеальным даже при полной загрузке канала. Таким же образом можно приоритезировать ICMP, DNS, HTTP, NTP и другой трафик, используя номер порта, номер протокола или маркировку соединения.