Тем временем в мире происходит какой-то треш.
Кто-то пишет, что лежит его оператор, кто-то ругается на недоступность серверов в датацентре...
Причины неизвестны, но есть слух, что у устройств от Cisco есть дыра на порту 4786 TCP.
😱
Если у вас возникли сложности с вашим оборудованием Cisco и вы не можете починить его, вы можете обратиться к нам за помощью.

​​Вчера закончился Европейский MUM в Берлине, но хотелось бы напомнить про #MUM в Екатеринбурге.
Как раз выложили видео и материалы презентаций.

​​Презентации с большого европейского MUM'а, прошедший в Берлине на прошлой неделе, уже доступны для просмотра: https://mum.mikrotik.com/2018/EU/agenda/RU

Жаль, что в этом году мы не смогли присутствовать.

Тем временем в новой версии RouterOS 6.42rc56 (2018-Apr-09 08:18) добавили режим тёмной стороны: added "Dark Mode" support for wAP 60G. А какую ветку обновлений используете вы? — На роутерах с реальной нагрузкой, вкл. домашние. Тестовые роутеры не в счёт.
anonymous poll

в основном current – 26
👍👍👍👍👍👍👍 62%

Только bugfix – 9
👍👍 21%

bugfix и current – 5
👍 12%

постоянно ставлю release-candidate – 1
▫️ 2%

использую релизы в каждой ветке в зависимости от задачи – 1
▫️ 2%

👥 42 people voted so far.

Уже сегодня состоится тренинг RIPE NCC Basic IPv6 Training Course в Екатеринбурге, следующие 2 дня будет тренинг RIPE NCC Advanced IPv6 Training Course.

Если вы не смогли посетить это мероприятия (количество мест ограничено), рекомендую вам посмотреть доклад про IPv6 с европейского MUMа:
From IPv4 scarcity to IPv6 fullness - best practices for the transition in a real case scenario от Wardner Maia из Бразилии (MD Brasil - Information Technology)
https://youtu.be/TwE0H5U7r3U

В докладе освещены следующие темы:
- Реализация CGNAT на RouterOS с использованием netmap
- Распределение адресного пространства IPv6 оператора
- Какие подсети IPv6 нужно выделять конечным клиентам
- и другое

​​​​Закончился последний день тренинга от RIPE NCC на тему IPv6.
Это было очень познавательное мероприятие, огромное спасибо всем участникам и тренерам.
Тренинг проводился на английском языке и я удивлён, что понимал практически всё и понимали меня.
---
Я точно осознал, что я не понимал до этого как надо использовать IPv6.
Выдавать каждому пользователю всего лишь /64 не достаточно. Если ваш оператор предоставляет вам /64, значит это придумали люди, которые совсем не понимают IPv6.

У меня есть много информации, которой я хочу поделиться, и обязательно сделаю это, но в рамках #MTCIPv6E .

А пока рекомендую вам прочитать статью https://apenwarr.ca/log/?m=201708#10
"The world in which IPv6 was a good design" или её перевод "Мир, в котором IPv6 придуман хорошо"
https://habrahabr.ru/post/340626/
---
Кстати, я всё ещё в Екатеринбурге и буду рад встретиться завтра и поговорить про IPv6 и не только...
---
Также выражаю огромную признательность моему преподавателю английского языка в школе, которой не смотря на всё моё нежелание изучать предмет, удалось научить меня свободно понимать англоязычных коллег и выражать свои мысли так, что меня понимали.

Обнаружена критическая уязвимость в RouterOS

Заключается она в том, что злоумышленник может вытащить информацию о пользователях роутера. Настраивайте фаерволы и ограничивайте  адреса, которым можно подключаться к WinBox

https://forum.mikrotik.com/viewtopic.php?f=21&p=656255&t=133533&sid=801b7135c15c4bbe7bb6af65b00b683e

Важное дополнение по уязвимости сервиса Winbox в RouterOS (подробности по ссылке в предыдущем посте):
На текущий момент нет полной уверенности, что вы не уязвимы.
Если ваш порт WinBox открыт для недоверенных сетей, предполагайте, что вы подвержены уязвимости, поэтому:
- по возможности - обновитесь на 6.42.1 (предварительно протестировав),
- по возможности - выключите WinBox (ip service),
- измените пароли пользователей,
- добавьте ограничения портов управления в FireWall,
- проверьте логи на предмет неавторизованных попыток подключения с неизвестных IP адресов (сначала могут быть сообщения о неспешных попытках авторизации, а потом об успешной),
- проверьте FireWall для обоих версий IP протокола IPv4 и IPv6.

Более подробно тема защиты ваших роутеров была рассмотрена на MUM в Екатеринбурге.

-+- Основные рекомендации по настройке и отладке RouterOS - Maris Bulans (MikroTik, Latvia)
https://youtu.be/PGvoT_Mwlvk

-+- Обзор сомнительных технических решений на RouterOS и их разбор - Tim Martiushev (MTik.pro, Russia)
https://mum.mikrotik.com/presentations/RU18/presentation_5300_1521184238.pdf
https://youtu.be/OuGP4PqasbA
------------------------------------
Если вам требуется консультация, обратитесь к нам, мы постараемся помочь вам по мере возможности.
E-mail: info@mtik.pro
Telegram: @mtimvik
VK: https://vk.com/mtikpro
Телефон: +7(342)2-06-03-02

​​​​​​​​Совсем недавно, буквально 17 апреля, RIPE NCC выдал последнюю сеть (из последней не использованной ранее /8).
Ещё остались адреса, которые были возвращены в RIPE NCC (например, при закрытии LIR'а).
Теперь, если вы получаете сеть, то она точно б/у. 😂
----
Жми 👍, если решил, что теперь уже точно пора заняться запуском IPv6 в своей сети.
Жми 👎, если тебе нравится NAT в IPv4 и ты не хочешь использовать публичные адреса.

8 Мая состоится MikroTik User Meeting в Японии, в расписании среди труднопереводимых тем, есть  доклад от Sergejs Boginskis из MikroTik:
Что нового в коммутаторах от MikroTik начиная с версии RouterOS 6.41. Приёмы конфигурации и подсказки.
Рекомендую не пропустить этот доклад.
———
А пока вы можете помотреть как происходит подготовка к каждому MUM'у: https://youtu.be/0vdqlSydtNg

​​​​​​Так обрадовались длинным выходным, что совсем забыли рассказать от итогах вечернего тренинга.
С 23 по 29 апреля у нас состоялся первый вечерний тренинг #MTCNA.
Опыт увлекательный и нелегкий.
Все участники успешно сдали экзамен!

​​Вышел майский информационный бюллетень MikroTik (#82).
(первая часть новости)

Новые продукты, представленные на Европейском MUM:
Европейский MikroTik User Meeting прошёл в Берлине 5-6 апреля. На этом мероприятии был представлен RoadMap продуктов MikroTik на этот год.
Вы можете посмотреть слайды презентации и видео с MUM.

Обзор некоторых устройств:

CRS305-1G-4S+IN
• 4x SFP+ порта
• 1x Gigabit Ethernet
• металлический корпус
• 2 разъёма для подключения питания (DC)

PWR-Line AP
• Небольшая точка доступа, подключаемая в розетку
• Организует линк 100Мбит/сек с другим таким же устройством
• Организует беспроводную сеть без дополнительных проводов
• Автоматически соединяется с новыми такими же устройствами
• Ethernet port для принтера, IP-телефона, компьютера или другого устройства

LDF 2
• 2 GHz CPE/bridge
• Устанавливается на стандартную спутниковую тарелку
• Сверхдальние расстояния

CRS309-1G-8S+PC
• 8x SFP+ портов
• 1x Gigabit Ethernet
• Бесшумный корпус

CRS312-4C+8XG
• 8x 10G/5G/2.5G/1G Ethernet портов
• 4x 10G Ethernet / 10G SFP+ комбо портов
• Консольный (Console RJ45) порт и отдельный порт управления (management)
• два блока питания

CRS332-32S+RM
• 32x SFP+ порта
• Консольный (Console RJ45) порт и отдельный порт управления (management)
• два блока питания
• Коммутация пакетов на скорости порта

CRS354-48P-4S+2Q+
• 48x Гигабитных портов с PoE
• 4x SFP+ портов
• 2x QSFP+ портов (40Гбит/сек)
• поддержка стекирования на 40Гбит/сек портах

CRS354-48G-4S+2Q+
• 48x Гигабитных портов
• 4x SFP+ портов
• 2x QSFP+ портов (40Гбит/сек)
• поддержка стекирования на 40Гбит/сек портах

​​Вышел майский информационный бюллетень MikroTik (#82).
(вторая часть новости)

Анонс новых моделей:

Wireless Wire Dish - $298 за комплект из 2х
Агрегированный Линк 2 Гбит/сек без проводов
- 2 Гбит/сек
- Расстояние до 1500 м
- Беспроводная связь на 60 GHz
- Гигабитный Ethernet
- Поддержка 802.3af/at и Passive PoE

Wireless Wire Dish - новаторское решение, предоставляющее скорости и качество проводных решений на дистанциях до 1500 м за хорошую цену!

Этот удивительный комплект автоматически устанавливает зашифрованное (AES) беспроводное соединение на частоте 60 ГГц, которая не затронута переполненным спектром WiFi. Для начала использования вам необходимо направить устройства друг на друга и включить их, они уже преднастроены, чтобы соединиться и предоставить связь до 2 Гбит/сек.

LtAP mini LTE kit - от $89
LtAP mini LTE kit - маленькая пыле-влаго зашищённая беспроводная точка доступа со встроенным модемом для подключения к мобильным 2G, 3G, 4G(LTE) сетям.

Также доступна версия без модема, так что вы можете использовать свой модем.

• точка достуа 2.4 ГГц в прочном корпусе
• слот miniPCIe для LTE модема
• два слота для SIM-карт
• встроенный GPS
• serial (RS232) порт
• отлично пождходит для использования в транспорте

LtAP mini имеет специальный корпус с возможностью крепления к стене, два слота для SIM карт для переключения между мобильными операторами связи, встроеная поддержка GPS, что делает это устройство удобным для использования в движущемся транспорте, например, в машинах, автобусах, поездах.
Доступная для заказа внешняя антенна ACGPSA (не включено).
LTE модем подключается к двум внутренним антеннам с разъёмами u.FL, что позволяет отключить их и использовать другие внешние антенны для лучшего сигнала.

Устройство имеет несколько способов питания:
• 10-57 В PoE через Ethernet порт
• разъём для блока питания (DC)
• microUSB

Используйте встроенный GPS для отслеживания транспорта в реальном времени, в документации уже доступен пример приложения.

Доступны три версии устройства:
• LtAP mini LTE kit (RB912R-2nD-LTm&R11e-LTE) включает LTE модем, поддерживающий международные частоты LTE: 1,2,3,7,8,20,38,40.
• LtAP mini LTE kit-US (RB912R-2nD-LTm&R11e-LTE-US) включает LTE модем, поддерживающий частоты LTE: 2,4,5,12 - для США, Канады и Латинской Америки.
• LtAP mini (RB912R-2nD-LTm) - версия без модема (пустой слот miniPCI-e), вы можете использовать свои модули LTE.

Доступна запись доклада Sergejs Boginskis из MikroTik:
• Что нового в коммутаторах от MikroTik начиная с версии RouterOS 6.41. Приёмы конфигурации и подсказки.
https://www.youtube.com/watch?v=IEE_dszZGLc

Также доступна презентация: https://mum.mikrotik.com/presentations/JP18/presentation_5326_1526295658.pdf

Язык: английский.

​​Где больше всего IPv6 пользователей?

Ответ на этот вопрос вы можете найти в в этой презентации с конференции RIPE76:
https://ripe76.ripe.net/presentations/9-2018-05-17-ipv6-reasons.pdf

​​Большинство устройств от MikroTik имели корпус в белом цвете, а иногда в сером (линейка RB1100).
Была также линейка RB2011, выполненная в чёрном цвете или в красно-чёрной раскраске.

Не так давно появились несколько моделей с чёрным корпусом (hAP mini , wAP BE, hAP ac lite TC, hAP ac²).

Тем не менее, до этого момента ещё не было устройств в классическом корпусе чёрного цвета.
На сайте появилась новая модель с аппаратным ускорением шифрования:
==========
hEX S - $69.
==========
Ниже на картинке вы можете увидеть сравнение  с hEX и hAP ac² по основным характеристикам, которые также имеют аппаратное ускорение IPSec.
——————————————
Я уже писал выше, что MikroTik поглядывает на тёмную сторону...

​​Вышел июньский информационный бюллетень MikroTik (#83).

Анонс новых моделей:

hEX S - $69

hEX S - это 6-ти портовый проводной гигабитный маршрутизатор для мест, где нет необходимости в беспроводной связи.
В hEX S есть SFP и PoE выход на последнем порту, в отличии от hEX.

Это доступное, маленькое и простое в использовании устройство, но в то же время имеющее очень мощный двухъядерный процессор на 880 МГц и 256 Мбайт оперативной памяти, способное на любые конфигурации, поддерживаемые в RouterOS.

• Двухъядерный процессор 880 МГц
• 256 Мбайт оперативной памяти
• 1.25 Гбит/сек SFP слот
• 5 Гигабитных Ethernet портов
• USB 2.0
• Слот для microSD
• Аппаратное шифрование IPSec (~470 Мбит/сек)
• Возможность установки сервера Dude
• RouterOS License level 4
• Питание от БП 12-57 В или PoE (802.3at/af)
• Блок питания 24В 1.2А в комплекте

SXT LTE kit - $129

SXT LTE kit - устройство для отдалённых районов в зоне покрытия мобильной связи. Однако из-за профессионального дизайна LTE-чипа и антенны с высоким коэффициентом усиления, может предоставлять связь в зданиях даже там, где не могут сотовые телефоны.

В сравнении с моделью первого поколения RBSXTLTE3-7, SXT LTE kit имеет более мощный процессор, поддержку не только LTE, но и 2G/3G.
Устройство имеет 2 Ethernet порта (второй порт с PoE выходом), так что теперь возможно подавать питание на другое устройство.
Поставляется с блоком питания на 24 В, но поддерживает питание в диапазоне 18-57 В и питание по PoE (802.3af/at).

Устройство поставляется с высококачественным модемом категории 4, обеспечивающим скорость в 150 Мбит/сек для входящего трафика и 50 Мбит/сек для исходящего. Также имеет 2 Micro SIM слота с возможность переключения между ними.

Используется модуль R11e-LTE, поддерживающий международные LTE полосы частот 1, 2, 3, 7, 8, 20, 38 и 40.
Для США, Канады и Латинской Америки используется модуль R11e-LTE-US, поддерживающий LTE полосы частот 2, 4, 5, 12.

RB450Gx4 - $99
RB450Gx4 - это маршрутизатор с 5-ю Гигабитными Ethernet портами, последовательным (RS232) портом, 512 NAND памятью и слотом для microSD карт. Поддерживающий питание от БП 10-57В или PoE (802.3af/at или Passive) и предоставляет питание (PoE) с порта #5.

Поставляется без корпуса, форм фактор идентичен предыдущим моделям RB850 и RB450, что позволяет использовать те же корпуса или сделать собственные.

Устройство работает на четырёхъядерном ARM процессоре с 1 Гбайтом оперативной памяти и поддерживает аппаратное ускорение шифрования IPSec.
Устройство работает под управлением RouterOS - операционная система, которая превратит эту мощную систему в очень современный маршрутизатор или межсетевой экран (FireWall).

Давно не писал...
За это время у меня накопилось много новых историй, как не нужно делать, часть старых схем я уже рассказывал во время доклада на MUM в Екатеринбурге : https://youtu.be/OuGP4PqasbA
Стоит ли выкладывать их сюда?
Нужно ли
👍 - больше неоптимальных схем с использованием RouterBoard и объяснением, как надо было сделать,
👎 - или не надо обсуждать плохие схемы, это может обидеть тех, кто их придумал.

Так сложилось, что один из примеров плохих схем с использованием оборудования RouterBoard, был из крупного оператора, который часто обращается ко мне за консультациями.
Оборудования на RouterOS у этого оператора огромное количество.
Кажется, наконец-то пришло время всё прибрать и сделать хорошо, и, вот, в ближайшее время появится вакансия на Главного специалиста по грамотной настройке RouterOS.
Поэтому, предварительно публикую список требований.
====================
Требуется:
• знать TCP/IP
• понимать принципы работы различных туннелей (IPIP/GRE/PPTP/L2TP/BCP)
• понимать и уметь настроить FireWall (+NAT)
• (опционально) знать о протоколах TR-069 и подобных
• желательно быть линуксойдом (это исключительно от меня добавлено)
• наличие сертификатов (можно просроченных) MTCNA и MTCRE или готовность сдать оба экзамена
• умение аргументированно объяснять, почему не стоит запускать массово услугу PPPoE на L2, организованном с помощью EoIP, который строится на адресах в туннеле PPTP с серого IP на 3G-интерфейсе, который строится через Интернет до центральной точки.
====================
Компания предлагает официальное трудоустройство.
Коллектив в компании чудесный, очень много крутых специалистов, которым можно позадавать любые вопросы и много чего узнать.

Если вас заинтересовало предложение - пишите мне, мы пообщаемся и, если вы убедите меня, что подходите, я рекомендую вас. (Или ищите вакансию на специализированных ресурсах).

Кажется, я черезчур долго писал пост про то, как делать не надо.
В итоге, решил сделать второй полноценный доклад, решил пока не выкладывать истории сюда, так как точно не уверен, что именно будет в докладе.