MikroTik RouterOS 3.0 !!!

No nareszcie :) stabilna wersja 3.0 ujrzała światło dzienne.

changelog:

What's new in 3.0:

* fix for rb100 - can change ethernet settings when interface in bridge/bond;
* fixed auto upgrade on RB333 & RB600;
* made RB411 bootup more stable;
* made DNS & WINS setting work again in PPP;
* fixed bug - dhcp client did not update NTP server list;

What's new in 3.0rc14:

* fixed locking up in PPPoE server;
* fixed bridging in PPTP, L2TP an PPPoE;
* fixed bug - MPPE encryption keys received from RADIUS server were decoded improperly on RB333;
* added support for BGP signalled VPLS;
* fixed bug in port remote-access - it was inserting random data, mostly nulls, in data sent to serial port and to tcp connection;
* fixed bug in console error propagation, code like the example below caused console to enter busy loop:
:do { badcommandname; } while=(true);
* fixed hotspot https walled-garden;
* fixed bug - dhcp server failed to give out options with code > 127;
* console - fixed numeric parameters that accept negative values, were broken in rc12;
* fixed port line-state values on MIPS RouterBoards;
* fixed bug - idle-timeout & session-timeout were not disabled if they were unset in ppp profiles;
* fixed OSPF compatibility bug with v2.9 (and some other vendor implementations): LS Acknowledgments were sent to wrong address;
* fixed Broadcast flag for DHCP on RB300/RB600;
* fix wireless nstreme packing problem;
* improved layer7 firewall matcher memory usage;
* console - do not add input to history if it is the same as previous line;
* fixed bridge to forward (R)STP frames as regular if (R)STP not enabled;
* fixed bug - configuration for missing serial ports was not tagged inactive;
* console - fixed safe mode, it was causing wery high cpu usage and terminal traffic;
* console - added login parameters, passed as part of login name, after '+'; can be used to disable colors (+c) and terminal autodetection (+t), e.g. "admin+ct";
* fixed problem - bandwidth shaping on ARES traffic was not working properly;
* user manager - fixed security bug in user page;
* dns resolver has configurable max UDP packet size;
* fixed dns resolver - tcp queries were broken without ipv6 package;
* added ingress priority matcher to firewall rules;
* added number of active pcq queues to queue stats;
* made advanced mode for wireless interface configuration in WinBox;

What's new in 3.0rc13:

* fixed problem - clean install on x86 & adding new ethernet interfaces on x86 did not work (introduced in 3.0rc12);

What's new in 3.0rc12:

* added support for MPLS & VPLS;
* added ability to specify & disable winbox port under "/ip services";
* fixed bug - DFS was not taking into account channel usage when selecting channel;
* fixed bug - simultaneously monitoring wireless interface and changing settings could cause crash;
* improved memory usage under RB133C;
* fixed bug - MAC Winbox connection was not very stable;
* fixed bug in graphing;
* fixed problem - routerboard sometimes did not upgrade & reboot if serial cable was not plugged in;
* interface routing now works with PPPoE 'dial-on-demand' interfaces;
* fixed dial-on-demand;
* routing - fixed 'set-in-nexthop' filter (broken in 3.0rc7);
* implemented more registered client flushing on access-list and connect-list changes - now connect-list changes disconnect affected APs, wildcard mac address entry changes disconnect all clients;
* fixed bug - Windows could not synchronize to NTP server if local clock was used as time source (changed stratum from 6 to 4);

What's new in 3.0rc11:

* added filters to WinBox lists, and added ability to filter routes without downloading all of them to the client;
* updated WinBox Loader to v2.2.12 - clicking on IP address in router discovery list selects ip address not mac address;
* added '/tool sms send' in advanced-tools package;
* fixed problem - PPPoE, PPTP, L2TP could restart if user disconnected at wrong time;
* fixed problem - PPPoE, PPTP, L2TP static server interfaces disappeared after disconnect;
* added support for adding OVPN interfaces to bridge through specifying bridge in ppp profile;
* multicast - fixed IGMP Leave message handling;
* nand improvement for RB532A;
* fixed user-manager database restore from backup for RB500;
* fixed bonding - when bonding iface was put in bridge arp link monitoring did not work properly;

What's new in 3.0rc10:

* fixed problem - sometimes PPTP, L2TP, PPPoE and OpenVPN connections were not accounted properly, and no new connections could be established;
* fixed problem - L2TP sometimes could not establish connections through firewall or with Windows;
* bgp - fixed TCP MD5 authentication on RB300;
* fixed bug - route did not work with Level 1 license and routing package enabled;
* api - '/quit' command now immediately terminates session;
* console: 'and' operator in expressions that follow 'find' and 'print where' now is optional, pre-rc9 syntax 'find mtu=1480 type=ether' works as it used to; added back filters to firewall print commands, filtering by chain now is 'print chain=input' instead of 'print input'; fixed 'print count-only', it was ignoring any additional 'print' arguments that selected only part of items;

MikroTik RouterOS 3.0 RC9

Prace nad finalną wersją 3.0 tak przyspieszyły że mamy już RC9 ... a ja przegapiłem RC7 i 8.

changelog RC9:

* fix for rb100 - can change ethernet settings when interface in bridge/bond;
* fixed problem - RouterOS did not boot on some routers (reported disk not found);
* fixed dns resolver - sometimes could not parse packets with AAAA records;
* hide ppp interface & wireless passwords and keys in WinBox as well;
* fixed traffic-flow - could hang multi cpu router and ignore targets sometimes;
* fixed rb100 - ethernets could be set at random bandwidth limit after reboot;
* console:
repaint whole screen after terminal size change while in editor
(same as pressing F5 or Ctrl-L). this solves numerous issues with
terminal resizing;
added more workarounds for the case when terminal is too narrow
(<4 interface="wlan1">" and
"print from=[find ]" are equal;
removed filters from firewall print commands, now write, e.g.,
"/ip firewall filter print where !dynamic" instead of
"/ip firewall filter print static";
* web proxy: fixed crash on stopping proxy;

changelog RC8:

* fixed problem - console did not accept ip address ranges correctly;
* user manager - fixed problem with accounting creating too many sessions;
* console:
added ip-prefix and ip6-prefix datatypes, written in address/mask
notation;
INCOMPATIBLE CHANGE: expressions of the form "(123/45)" (where first
operand is literal unquoted value) currently will be parsed as single
string, to write division put space before '/' (like with '.' operator);
added operator 'in' that checks if first argument is inside second
argument, currenty implemented for the case where second argument is
ip-prefix or ip6-prefix and first argument is either address or
another prefix;
don't perform full reset of terminal on login;
fixed terminal capability detection, now windows telnet client
works better. TERM environment variable is ignored completely now,
it was overriding detected values before;
* added support for Huawei E220 USB modem;

changelog RC7:

* ftpd - automatically reboot after finishing upload that has name *.auto.npk;
* added support for Sierra Wireless AirCard 595U;
* ping - show more types of ICMP reply messages, like in 2.9 versions;
* add ICMP MPLS extension support to traceroute;
* console detects terminal size and capabilities, TERM environment variable is not used, so now this works even over serial;
* console - fixed crash on non-ASCII characters in input and output;
* console - export correctly strings that contain control characters;
* fixed in console - when argument value evaluation produces error, report that error instead of "invalid value for ..." message;
* console - changed the way how required command arguments are processed,
now commands like "enable [find]" don't fail with error when find returns
nothing;
* fixed memory leak on RB500;
* fixed layer7 protocol matcher, did not handle \x.. sequences correctly;
* fixed allow-shared-key mode for wireless;
* fixed station-pseudobridge mode when used in combination with nstreme framer-policy;
* fixed hidden ssid issues with wds links;
* SNTP client - adjust DST according to timezone settings when clock changes;
* console - fixed crash when terminal size is extremely small (like 1x1), assume default width 80 if terminal is too narrow;
* SNTP - fixed overflow bug, now clocks are adjusted correctly if initial time is way back (like jan/01/1970 on routerboards);
* added RIPng support in WinBox;
* added BGP for IPv6 support in WinBox;
* added PIM support in WinBox;
* added hide passwords option to WinBox;
* added regular expression matching to dns resolver static entries;
* user manager - fixed bug for credit extension using PayPal payments;

MikroTik RouterOS 3.0 RC6

Pojawiła się kolejna już szósta wersja RC jakże oczekiwanego RouterOS 3.0

changelog:

* RIP - fixed some problems;
* RIP - automatically distribute connected routes falling within range of some configured network;
* RIPng - network configuration statements removed, interface configuration now is mandatory;
* added support for IPv6 Firewall in WinBox;
* added support for IPv6 DNS cache in WinBox;
* added support for MME routing protocol in WinBox;
* added support for L7 matcher in WinBox;
* added support for Prolific 2303 based USB serial devices;
* specify tcp-mss in dynamicly added PPP mangle rules & do not add them when mtu is bigger then 1500;
* fixed USB UPS detection;
* fixed bug - PPTP client did not work with Windows PPTP server;
* limited number of active authentication sessions for PPPoE server to not overload RADIUS server;
* fixed bug - ssh command did not work on RB333;
* added support for Intel EXPI9404PT PCI-E ethernet adpater;
* added simple SNTP client to system package & removed regular ntp from bundle package;
* updated timezone information;

MikroTik RouterOS 3.0 RC5

Pojawiła się kolejna piąta wersja RC jakże oczekiwanego RouterOS 3.0

changelog:

* added layer7 protocol matching capability in firewall;
* updated network drivers;
* make external-fdb for station-wds interfaces be disabled when in auto mode;
* added regulatory domain info for 5.8GHz band in Germany;
* rip - fixed netmask for default route;
* added /system default-configuration;
* ability to reset without applying default configuration;
* reverted BGP network behaviour back to version 2.9;
* fixed BCP;
* fixed PPPoE, PPTP, L2TP problems with remote authentication;
* made Multi-Link over single link work properly in PPTP & L2TP;
* improved ares/warez p2p protocol matching
* ospf - fixed MD5 authentication;
* console - fixed memory leak in 'find' command;
* fixed ip accounting;
* user manager - customers can configure Authorize.Net title shown to users;

MikroTik RouterOS 3.0 RC2 oraz 2.9.46

Kolejny RC (Release Candidate) wersji 3.0 oraz malutki update 2.9 do 2.9.46.

changelog 3.0rc2:

* added RFC 2217 server (configure under '/port remote-access');
* renamed 'get' tool to 'fetch', avoids confusion with builtin 'get' commands;
* ospf - added 'passive' interface flag;
* ups - fixed duplicate logging of line power state;
* fixed bios upgrade from RouterOS on RB200;
* added switch support for rb1xx;
* added support for ipv6 firewall;
* added ipv6 support to dns cache;

changelog 2.9.46:

* added support for Broadcom BCM4401 (B0 & B1);

RouterBOARD 192 i 333

Już wkrótce w sprzedaży powinny pojawić się dwie nowe płyty ze "stajni" RouterBOARD. Mowa tutaj o RB 192 oraz RB 333. Poniżej specyfikacja techniczna obu produktów.

RouterBOARD 192
AP/CPE/SOHO router $109
MIPS32 4Kc, 175MHz embedded
RouterOS L4 Firewall/Routing
32MB SDRAM
Onboard NAND storage
Nine ethernet ports, Auto MDI/X
Two miniPCI Type IIIA/IIIB slots
Power: 9-28V DC; Overvoltage protection
PoE: 16-28V DC (no power over datalines)
155mm x 105mm (6,10in x 4,13in)

broszura: http://www.routerboard.com/pdf/rb192b.pdf

RouterBOARD 333
Ap/CPE $180
RouterOS L4 Firewall/Routing
PowerPC E300 266/333MHz CPU
QUICC Engine 175MHz Coprocessor
64MB DDR RAM
Onboard NAND storage
Three 10/100 ethernet ports MDI/X
Three miniPCI Type IIIA/IIIB slots
Power: 9-28V DC; Overvoltage protection
PoE: 16-28V DC (no power over datalines)
150mm x 105mm (5,9in x 4,13in)

broszura: http://www.routerboard.com/pdf/rb333b.pdf

MikroTik RouterOS 2.9.45

Wczoraj pojawił się kolejny update do serii 2.9 z numerkiem 45.

changelog:

* routing-test -
fixed memory leak;
inside confederations ignore routes with our AS number in AS path, this fixes looping of routing information inside confederation;
* calea server supports limited intercept;
* mac address changing did not work for RB44G (realtek 8169 chip);
* fixed bug - could not set new-tos in mangle rules from console;
* realtek 8169 ethernet chip (rb44g) could stop when using vlans
* user manager - fixed bug for PayPal payments with user data containing specific characters;
* implement hw-retries setting for wireless;

MikroTik RouterOS 3.0 RC1 !!

Właśnie pojawił się Release Candidate 1 RouterOS 3.0 a w nim sporo zmian:

changelog:

* enable routing package on upgrade - to fix upgrade from 2.9 version where routing-test package was used;
* console - parser now accepts newlines as CR, LF, CR+LF, this fixes import;
* user manager - using +/- image for group field show/hide instead of confusing checkbox;
* fixed bug - usb devices did not work;
* console - added tab key completions in editor;
* fixed slowness of RB112/RB133C during bootup (introduced in 3.0beta9);
* console - fixed variable name lookup;
* console - added back '/setup' command;
* console - added '/system script environment';
* console - fixed wireless interface configuration export;
* integrated MAC Ping in to regular Ping in WinBox;
* added support for Marvell IDE controller that is embeded in new Intel motherboards;
* fixed bug - for routes received via RIP nexthop was invalid in some cases;
* added 'get' tool for downloading files to router via HTTP or FTP;
* console - some properties could not be set via API, fixed;
* user manager - fixed bug for PayPal payments with user data containing specific characters;
* ip proxy - setting parent proxy did not work;
* fixed bug - dst-active was not updated after time update by NTP;
* console:
fixed 'do' arguments in '/tool bandwidth-test' and other commands;
inside expressions variables can be referenced without putting '$' before variable name;
'find' commands have new argument 'where' that allows to write filtering condition as console expression;
when entering commands from prompt, global variables can be used without declaring them;

MikroTik RouterOS dwa szybkie releasy wersji 3.x

Obie wersje wprowadzają następujące zmiany:

3.0beta9 changelog:

* console - removed undocumented scripting commands;
* console - variable lookup now is done while parsing script: variable name completion works, variables must be declared before use;
* some of the fixes mentioned under v3.0beta8, did not got in v3.08beta8,
they are fixed now;

3.0beta8 changelog:

* use less memory - makes RB133C & RB112 work better;
* added initial support for OpenVPN (client & server mode);
* added support for Sierra Aircard 595 & other Sierra Wireless cards;
* ipsec - fixed tunnel mode;
* fixed bug - bridging with bandwidth shaping could freeze whole system;
* ip proxy - allow setting invalid parent-proxy-port value 0 in console. this fixes import of default settings;
* ip proxy - fixed bugs introduced in 3.0beta6 (proxy could crash, cache was not working correctly);
* support for full frequency list of Atheros chips;
* ups - fixed: program was becoming unresponsive when serial ups was configured but was not connected;
* user manager - password not revealed on sign-up;
* console - each user has separate set of global variables;
* console - fixed crashes when exporting "/system health" on non-routerboards;
* console - removed unexpected entries from export (like /file);
* policy routing - fixed automatically added rules;

Intertelecom 2007 Łódź

O jakże jestem zadowolony z faktu obecności na Łódzkich targach Intertelecom! Warto było wstać wcześnie rano 4:30am aby zdążyć na otwarcie o 10am bo było co zwiedzać. Do odwiedzenia było około 160 stoisk wystawców w 3 halach. Tematami dominującymi była technika światłowodowa, VoIP i komunikacja bezprzewodowa. W między czasie trzeba było dać odpocząć stopom, więc spocząłem na prezentacji nowych produktów firmy Fritz ... jestem naprawdę pod wrażeniem tych urządzeń. Nowy model routera ma kosztować około 800-900PLN. To tu, to tam przewijały się produkty RouterBOARD'a i inne płyty dedykowane pod system RouterOS. Mam nadzieje iż ta impreza na stałe wpisze się do mojego kalendarza obowiązkowych corocznych imprez. Do zobaczenia za rok!

tips & tricks: RouterBOARD a temperatura

W sumie już po sezonie zimowym ale przed nami gorące lato (mam taką nadzieje) dlatego też jeśli obawiamy się o nasze płyty RouterBOARD'a powinniśmy zainteresować się trybem pracy procesora. Aby sprawdzić tryb pracy musimy mieć zainstalowaną i uruchomioną paczkę routerboard.

[admin@MikroTik] > system package print
Flags: X - disabled
#   NAME              VERSION
0   system            2.9.41
1   wireless          2.9.41
2   routerboard       2.9.41
3 X wireless-legacy   2.9.41
4 X rstp-bridge-test  2.9.41
5   ntp               2.9.41
6   hotspot           2.9.41
7   webproxy-test     2.9.41
8   dhcp              2.9.41
9   routeros-rb500    2.9.41
10 X routing-test      2.9.41
11   routing           2.9.41
12   ppp               2.9.41
13   security          2.9.41
14   advanced-tools    2.9.41

Następnie zaglądamy do:

[admin@MikroTik] > system routerboard settings print
           baud-rate: 115200
          boot-delay: 1s
         boot-device: nand-if-fail-then-ethernet
      enter-setup-on: any-key
            cpu-mode: power-save
         memory-test: no
       cpu-frequency: 264MHz
  safe-cpu-frequency: 264MHz
       boot-protocol: bootp
 enable-jumper-reset: yes

Jeśli chodzi o temperaturę to z tego menu zainteresują nas napewno dwie opcje: cpu-mode oraz cpu-frequency. Domyślnym trybem pracy procesora (cpu-mode) jest tryb oszczędzania energii (power-save) który skutkuje utrzymaniem niższej temperatury pracy urzadzenia. Tryb ten dobrze sprawdzi się w lecie. Na zimę jednak proponował bym zmianę trybu pracy na regular który spowoduje zwiększenie temperatury pracy systemu.
Podobnie ma się sprawa z częstotliwością pracy procesora (cpu-frequency). Im większa częstotliwość tym większa temteratura pracy, jednak nie polecam znacznie przekraczać bezpiecznych wartości (safe-cpu-frequency).

MikroTik RouterOS 2.9.42 oraz 3.0beta7

Pojawiła się nowa wersja MikroTik RouterOS a w niej następujące zmiany:

2.9.42 changelog:

* fixed RouterOS configuration to reset when "Soft Reset" jumper on RB133C or JP1 on RB532r5 is shorted;
* webproxy-test - fixed FTP protocol detection;
* routing-test - fixed bgp crash;
* fixed wireless sniffer file format;
* work around bugs in some WPA2 implementations that do not do proper group key updates;

3.0beta7 changelog:

* certificates - sometimes when importing CA certificate, certificate cache was reset. Fixed;
* fixed RB200 bios upgrade from RouterOS;
* added reset-configuration command for wireless;
* user manager - user signup bugfix;
* fixed RouterOS configuration to reset when "Soft Reset" jumper on RB133C or JP1 on RB532r5 is shorted;
* hotspot - added to retry mac authentication in case of radius timeout;
* hotspot - added total (in + out) byte limit;
* fixed wireless sniffer file format;
* work around bugs in some WPA2 implementations that do not do proper group key updates;
* routing - added set-in-nexthop and set-out-nexthop filters;
* routing - added notification when filters are changed for RIP and OSPF (affects redistributed routes)
* routing - added MME routing protocol;
* user manager - added total transfer (download + upload) byte limit;
* WMM support;

MikroTik debug log: Rozwiązywanie problemów z łącznością bezprzewodową

Domyślnie RouterOS w logach informuje nas o połączeniu i rozłączeniu klienta za pomocą prostych wpisów w stylu:

22:32:18 wireless,info 00:80:48:41:AF:2A@wlan1: connected

Normalnie taka informacja nam wystarcza bo wiemy że klient z mac address'em 00:80:48:41:AF:2A został połączony to interfejsu wlan1. Jeśli jednak mamy problemy z łącznością, autoryzacją itp możemy skorzystać z trybu debug który daje nam o wiele więcej informacji niż domyśle logi. Dla przykładu, ten sam klient łączy się przy włączonym trybie debug:

22:33:20 wireless,debug wlan1: 00:80:48:41:AF:2A attempts to connect
22:33:20 wireless,debug wlan1: 00:80:48:41:AF:2A not in local ACL, by default accept
22:33:20 wireless,info 00:80:48:41:AF:2A@wlan1: connected

Pierwsza linia mówi nam że ktoś próbuje się przyłączyć do naszego AP. W drugiej mamy informację o tym że AP sprawdza czy może go przyłączyć i wynik tej akcji. Ostatnia trzecia linia informuje o tym że klient został połączony. Jest to tylko jeden z przykładów informacji jakie możemy uzyskać wykorzystując tryb debug. Opis wszystkich komunikatów trybu debug znajdziecie poniżej.

Aby włączyć tryb debug wykonujemy:

[admin@MikroTik] > /system logging
[admin@MikroTik] system logging> add topics=wireless,debug action=memory

STATION MODE

[MAC]@[DEV]: lost connection, [REASON]
Stacja straciła połączenie z AP ponieważ [REASON]

[MAC]@[DEV]: failed to connect, [REASON]
Stacja próbowała połączyć sie z AP, ale połączenie nie powiodło się ponieważ [REASON]

[MAC]@[DEV]: established connection on [FREQ], SSID [SSID]
Stacja próbowała połączyć się, i próba połączenia powiodła się, z AP o SSID [SSID] na częstotliwości [FREQ]

[MAC]@[DEV]: MIC failure!!!
Sprawdzanie integralności wiadomości TKIP zakończyła się niepowodzeniem, ktoś próbuje się włamać lub wykonać DOS na sieć. Jeśli w ciągu 60 sekund otrzymamy więcej niż jedną informację MIC failure, sterownik karty przechodzi w stan "TKIP countermeasures" w którym odrzuca wszystkie przychodzące i czekające w kolejce pakiety używające TKIP.

[MAC]@[DEV]: enter TKIP countermeasures
Stacja weszła w stan "TKIP countermeasures", co oznacza że rozłączy się z AP i nie będzie się odzywać przez następne 60 sekund.

AP MODE

[DEV]: radar detected on [FREQ]
Wykryty został radar na częstotliwości [FREQ], AP podejmie prace na innym kanale.

[DEV]: data from unknown device [MAC], sent deauth [(XXX events suppressed, YYY deauths suppressed)]
Otrzymano dane od nieznanego urządzenia (tzn nie zarejestrowanego w tym AP) o mac-address'ie [MAC], AP wysłał ramkę deautoryzującą. XXX oznacza liczbę wystąpienia tego zdarzenia w celu przeciwdziałania nadmiernemu rośnięciu logów, YYY oznacza liczbę frame deautoryzujących które powinny zostać wysłane, ale nie zostały, co za tym idzie zasoby radiowe nie są marnowane na wysyłanie zbyt dużej liczby ramek deautoryzujących (maksymalnie 10 ramek na 1 sekundę).

Najczęstszym powodem pojawiania się w logach tej informacji jest sytuacja w której stacja będąca podłączona do AP, nie wie jeszcze o tym że została rozłączona, dalej wysyła dane do AP. Wiadomość deautoryzująca informuje stację że nie just już podłączona do AP.

[DEV]: denying assoc to [MAC], failed to setup compression
Inicjalizacja kompresji nie powiodła się, najczęściej z powodu zbyt dużej ilości podłączonych klientów chcących skorzystać z kompresji.

[DEV]: [MAC] is new WDS master
WDS slave ustanowił połączenie z WDS master'em, co oznacza że WDS slave zaczął akceptować klientów i pracuje jako AP.

[DEV]: [MAC] was WDS master
Wiadomość ta pojawia się w logach gdy dochodzi do rozłączenia z [MAC], co za tym idzie WDS slave deautoryzuje wszystkich klientów i zaczyna skanowanie w poszukiwaniu nowego WDS master'a.

[MAC]@[DEV]: connected [, is AP][, wants WDS]
Stacja z adresem [MAC] została połączona. Jeśli obecne jest pole "is AP" - zdalne urządzenie jest AP, w przypadku "is WDS" - zdalne urządzenie żąda zestawienia połączenia typu WDS.

[MAC]@[DEV]: disconnected, [REASON]
Połączenie ze stacją z adresem [MAC] zerwane z powodu [REASON]

[DEV]: TKIP countermeasures over, resuming
Okres milczenia w stanie "TKIP countermeasures" zakończył się, AP wraca do normalnej pracy.

[DEV]: starting TKIP countermeasures
AP wchodzi w stan "TKIP countermeasures" i przez 60 sekund będzie milczał, wszyscy klienci zostają rozłączeni.

[REASON]

"joining failed" - może przydarzyć się tylko z kratami Prism w trybie Station.

"join timeout" - występuje tylko w trybie Station, synchronizacja z AP nie powiodła się. Powodem przeważnie jest słaby sygnał, zdalny AP przestał działać, silne interferencje, inne zjawiska radiowe uniemożliwiające nawiązanie połączenia.

"no beacons" - brak ramek beacon z drugiego końca połączenia WDS. Powodem przeważnie jest słaby sygnał, silne interferencje, inne zjawiska radiowe uniemożliwiające nawiązanie połączenia.

"extensive data loss" - lokalny interfejs zadecydował aby zerwać połączenie ze zdalnym urządzeniem z powodu niemożliwo wymiany danych ze zdalnym urządzeniem mimo wielokrotnych próba nawiązania połączenia z najniższą możliwą prędkością. Powodem przeważnie jest słaby sygnał, zdalny AP przestał działać, silne interferencje, inne zjawiska radiowe uniemożliwiające nawiązanie połączenia.

"decided to deauth, [802.11 reason]" - lokalny interfejs zdecydował że zdezautoryzuje zdalne urządzenie z powodu [802.11 reason].

"inactivity" - zdalne urządzenie przez zbyt długi czas było nieaktywne.

"device disabled" - lokalny interfejs został wyłączony.

"got deauth, [802.11 reason]" - otrzymano od zdalnego urządzenia ramkę deautoryzującą z kodem powodu deautoryzacji [802.11 reason].

"got disassoc, [802.11 reason]" - otrzymano od zdalnego rządzenia ramkę deasocjującą z kodem powodu deasocjacji [802.11 reason].

"auth frame from AP" - otrzymano ramkę autoryzującą od urządzenia które było AP, przeważnie spowodowane jest to zmianą tryby pracy zdalnego urządzenia z AP na Station.

"bad ssid" - zły SSID dla połączenia WDS

"beacon from non AP" - otrzymano ramkę beacon od urządzenia które nie było AP, przeważnie z powodu zmiany trybu pracy zdalnego urządzenia z Station na AP.

"no WDS support" - urządzenie nie wspiera trybu WDS.

"failed to confirm SSID" - próba potwierdzenia SSID na drugim końcu połączenia WDS nie powiodła się.

"hardware failure" - problemy ze sprzętem lub nieoczekiwane zachowanie.

"lost connection" - może przydarzyć się tylko z kratami Prism w trybie Station.

"auth failed [802.11 status]" - występuje w trybie Station, AP nie zezwala na autoryzacją, zwracany jest kod statusu [802.11 status].

"assoc failed [802.11 status]" - występuje w trybie Station, AP nie zezwala na autoryzacją, zwracany jest kod statusu [802.11 status].

"auth timeout" - występuje w trybie Station, urządzenie w tym trybie nie otrzymało odpowiedzi na ramkę autoryzującą, powodem może być słaby sygnał lub AP z jakiegoś powodu ignoruje to urządzenie.

"assoc timeout" - występuje w trybie Station, urządzenie w tym trybie nie otrzymało odpowiedzi na ramkę asocjującą, powodem może być słaby sygnał lub AP z jakiegoś powodu ignoruje to urządzenie.

"reassociating" - występuje na AP, połączenie przypuszczalnie zostało zerwane ponieważ urządzenie uważane za połączone łączy się jeszcze raz. Wszystkie informacje dotyczące połączenia musza zostać usunięte, ponieważ podczas łączenia wszystkie parametry są negocjowane na nowo. Powodów rozłączenia należy szukać na zdalnym urządzeniu. Przeważnie jest to zerwanie połączenia z jakiegoś powodu nie informując o tym AP, na przykład zmiana w konfiguracji, utrata danych.

"compression setup failure" - połączenie niemożliwe ponieważ podłączonych jest zbyt wiele stacji, które wykorzystują kompresje.

oryginał: http://wiki.mikrotik.com/wiki/Wireless_Debug_Logs

MikroTik RouterOS 2.9.41

Pojawiła się nowa wersja MikroTik RouterOS a w niej następujące zmiany:

* routing-test - fixed bugs introduced in 2.9.40: bgp routes were not removed; was possible to enter busy-loop;
* fixed RADIUS rate attribute processing in wireless;
* fixed RSTP protocol version number;
* certificates - sometimes when importing CA certificate, certificate cache was reset. Fixed;
* graphing - incorrect scale legend bugfix for large data amounts;
* improved support for realtek 8169 chip (routerboard 44G
* user manager - added PayPal payment system;
* user manager - voucher customization bugfix;
* user manager - user signup bugfix;

tips & tricks: overall-tx-ccq / current-ack-timeout / current-distance

Jak się okazuje, ilość informacji wyświetlanych za pomocą

interface wireless monitor wlan1

zależy od ustawionego na danym interfejscie mac-address'u.
Dla przykładu gdy na karcie z Atheros AR5413 "zasymulujemy" kartę Planet przez zmianę mac-address'u na naprzykład 00:30:4F:31:F5:E9 w raporcie wyświetlonym przez powyższą komendę będzie brakować parametrów overall-tx-ccq, current-ack-timeout, current-distance:

               status: running-ap
                 band: 2.4ghz-b
            frequency: 2472MHz
          noise-floor: -96dBm
   registered-clients: 2
authenticated-clients: 2
              nstreme: no
    current-tx-powers: 1Mbps:19,2Mbps:19,5.5Mbps:19,11Mbps:19
  notify-external-fdb: no

gdy tylko przywrócimy stary mac-address otrzymamy:

               status: running-ap
                 band: 2.4ghz-b
            frequency: 2472MHz
          noise-floor: -96dBm
       overall-tx-ccq: 92%
   registered-clients: 3
authenticated-clients: 3
  current-ack-timeout: 39
     current-distance: 39
              nstreme: no
    current-tx-powers: 1Mbps:19,2Mbps:19,5.5Mbps:19,11Mbps:19
  notify-external-fdb: no

RB532 <150m> RB532

Skuszony informacją z broszury RB44 na temat maxymalnej obsługiwanej długości przewodu Ethernetowego równej 150 metrów, postanowiłem sprawdzić jak to wygląda w przypadku RB532, do której dokumentacja nie zawiera informacji na temat obsługi dłuższych, niż to przewiduje standard, segmentów.

Do testów użyłem dwóch płyt RB532A z najnowszym systemem RouterOS 2.9.40. Przepustowość mierzyłem za pomocą wbudowanej w system funkcjonalności bandwidth-server/-test. Ponieważ test jest zasobożerny (cpu load serwera w czasie testów utrzymywał się cały czas na poziomie 100%) obie płyty okroiłem tylko do działającej paczki system. Podejrzewam, że gdyby test wykonać na dwóch dodatkowych maszynach zapiętych za testowanymi płytami, osiągnięte przepustowości były by większe.

Testowany kabel kategori 5e o długości 152m zapiąłem na porty ether3 w obu płytach (test powiódł się na wszystkich portach).

bandwidth-test: 266MHz, 64MB, RouterBOOT 2.5
bandwidth-server: 264MHz, 64MB, RouterBOOT 1.12, authenticate=no

Poniżej tabela z wynikami:

RouterBOARD 532r5

MikroTik rozpoczął sprzedaż nowych wersji płyt RB532 oznaczonych jako r5. Poniżej lista zmian dokonanych w stosunku do poprzedniej wersji:

CPU Factory tested at 400MHz
higher speed memory to support 400MHz DDR
3.3V power supply improved to handle more high-power radios (20W available at 3.3V)
over-voltage protection
power polarity protection
Speaker added
less jumpers

RouterBOARD 133/133C

W końcu, po okresie testowym, na stronie producenta pojawiła się oficjalna specyfikacja nowych tanich płyt RouterBOARD 133 oraz 133C. Idealnie sprawdzą się one jako APC współpracujące z bazą, na przykład opartą na RB532. Cena płyt to odpowiednio 89 i 59$.

Specs: RB 133/133C
OS: RouterOS Level 4
CPU: MIPS32 4Kc, 175MHz embedded
Data storage: 128MB/64MB onboard NAND
Memory: 32/16MB SDRAM
Ethernet ports: three/one Mbit ethernet ports supporting Auto MDI/X
MiniPCI slot: three/one miniPCI Type IIIA/IIIB slots
Speaker: on board
Console: DB9 Serial port
Power options: PoE 16..28V DC (except power over datalines); Power jack 9..28V DC; Overvoltage protection
Dimensions: 117mm x 105mm

tips & tricks: port knocking

Podczas "co sobotnich" porządków wpadł mi do głowy pomysł jak za pomocą address-list zaimplementować w MikroTik RouterOS metodę zabezpieczającą uruchomione na nim usługi zwaną port knocking'iem.

"Port-knocking" jest metodą pozwalającą na nawiązanie zdalnego połączenia z usługami działającymi na komputerze, do którego dostęp został ograniczony np. za pomocą filtra pakietów, umożliwiającą odróżniania prób połączeń, które powinny i nie powinny być zrealizowane.

Można uznać, że z punktu widzenia chcącego się połączyć klienta, na komputerze tym nie ma otwartych portów. System, z którego ma nastąpić połączenie, wysyła serię pakietów na zamknięte porty maszyny docelowej. Pakiety te są oczywiście ignorowane, ale odpowiednie oprogramowanie śledzi przychodzące pakiety i jeśli pakiety z danego adresu IP układają się w zdefiniowaną dla pewnej usługi sekwencję, wówczas system zezwala na połączenia z nią z tego adresu IP.

źródło: pl.wikipedia.org

Wyobraźmy sobie scenariusz w którym powinniśmy uzyskać dostęp do SSH działającego na danej maszynie pod warunkiem wysłania do niej wcześniej określonej sekwencji pakietów, na przykład: 100/tcp, 50/udp, 72/udp.

ip firewall filter [ent]
add chain=input protocol=tcp dst-port=100 action=add-src-to-address-list address-list=stage-1 address-list-timeout=5 [ent]
add chain=input protocol=udp dst-port=50 src-address-list=stage-1 action=add-src-to-address-list address-list=stage-2 address-list-timeout=5 [ent]
add chain=input protocol=udp dst-port=72 src-address-list=stage-2 action=add-src-to-address-list address-list=stage-3 address-list-timeout=5 [ent]
add chain=input protocol=tcp dst-port=22 src-address-list=stage-3 action=accept [ent]

Powyższa konfiguracja zakłada że kolejne pakiety z sekwencji będą pojawiać się nie później niż w 5 sekundowych odstępach.

tips & tricks: dst-port 25

W tym post'cie przedstawię jak skutecznie walczyć z wirusami z własnym silnikiem umożliwiającym im rozsyłanie się za pomocą poczty elektronicznej. Skutecznie .. to znaczy pozbywając się ruchu przez nie generowanego i przy okazji informując klienta o fakcie zainfekowania jego maszyny.

W iptables z modułem recent wystarczy 4 reguły a nawet 2 (bez jump'a do osobnego łańcucha):

iptables -N tcp_dport25 [ent]
iptables -A FORWARD -p tcp --dport 25 -m state --state NEW -j tcp_dport25 [ent]
iptables -A tcp_dport25 -m recent --update --seconds 10 --name smtp -j DROP [ent]
iptables -A tcp_dport25 -m recent --set --name smtp -j ACCEPT [ent]

Co robią powyższe regułki? Pierwsza tworzy nowy łańcuch o nazwie tcp_dport25. Kolejna wysyła do niego ruch wędrujący przez łańcuch FORWARD z portem docelowym 25/tcp oraz stanem połączenia NEW. Następna sprawdza w tabeli smtp czy z danego źródłowego adresu IP, w ciągu ostatnich 10 sekund, była już próba nawiązania połączenia z docelowym portem 25. Jeśli tak, to uaktualnia czas żywotności wpisu informującego o tym fakcie na 10 sekund, oraz DROP'uje próbę nawiązania połączenia. Ostatnia reguła dokonuje wpisu w tabeli smtp świadczącego o tym że z danego IP zanotowano próbę połączenia z zdalnym portem 25, oraz ACCEPT'uje to połączenie.
W tym momencie klient jest w stanie wysłać jednego maila co 10 sekund pod warunkiem że w ciągu tych 10 sekund nie próbował ponownie łączyć się do portu 25. W tym momencie wirusowi, który średnio rozsyła się z częstotliwością kilku prób na sekundę, uda się tylko jedna próba wyjścia na świat z portem docelowym 25. Wszystkie kolejne będą skutecznie blokowane.

A jak powyższy scenariusz zaimplementować w MikroTik'u?

ip firewall filter [ent]
add chain=forward protocol=tcp dst-port=25 connection-state=new action=tcp_dport25 [ent]
add chain=tcp_dport25 src-address-list=smtp address-list=smtp address-list-timeout=10s action=add-src-to-address-list [ent]
add chain=tcp_dport25 src-address-list=smtp action=drop [ent]
add chain=tcp_dport25 action=add-src-to-address-list address-list=smtp address-list-timeout=10s [ent]
add chain=tcp_dport25 action=accept [ent]

Najpierw przechodzimy do konfiguracji tabeli filter firewall'a. Następnie do automatycznie tworzonego łańcucha tcp_dport25 przekierowujemy pakiety rozpoczynające (NEW) połączenie z docelowym portem 25. W kolejnej regule sprawdzamy czy z danego IP były już próby nawiązania połączenia na port 25. Jeśli tak to uaktualniamy wpis. Następnie jeśli nadający host znajduje się już na liście DROP'ujemy połączenie. Jeśli natomiast się na niej nie znajduje dodajemy go do listy na 10 sekund. Ostatnia reguła zezwala na połączenie.

Dodając jeszcze jedną regułę można doprowadzić do tego, że z danego IP można będzie przeglądać strony www pod warunkiem czystego komputera.

ip firewall nat [ent]
add chain=dstnat src-address-list=smtp action=dst-nat to-address=[IP serwera www z stroną informacyjną] to-ports=[port na którym nasłuchuje serwer] [ent]