Sysadminium
Из этой статьи вы узнаете как правильно выполнять обновление и даунгрейдинг RouterOS на роутерах MikroTik, а также разберём ветки релизов.
Оглавление скрыть
Ветки обновлений RouterOS
Для начала разберёмся с ветками обновлений операционной системы RouterOS, их 4 штуки:
- Development. В этой ветке релизы выпускается по мере необходимости. Релизы содержат непротестированные изменения. Эта ветка подойдёт только для тех, кто готов протестировать новые функции.
- Testing. Здесь релизы выпускается каждые несколько недель. Они проходят только базовое тестирование, и не должны применяться в продакшене.
- Stable. Эта ветка содержит протестированные релизы, которые выпускается каждые несколько месяцев. Эти релизы содержат как исправления ошибок, так и новые функции.
- Long term. В этой ветке релизы выпускаются редко и включают только самые критичные исправления. При этом обновления в рамках ветки с одним номером (6.48, 6.48.1, 6.48.2, 6.48.X) не содержат новых функций. Когда Stable релиз выходит уже некоторое время и кажется достаточно стабильным, он переводится в Long term, заменяя более старый релиз, который перемещается в архив.
Теперь разберём как версии RouterOS выпускаются и переходят с ветки на ветку. Допустим выпустили они Stable версию 6.48. И продолжают её улучшать, добавляя функциональность и исправляя ошибки. Так появляются версии 6.48.1, 6.48.2, 6.48.3, 6.48.4. И тут они решают что 6.48.4 уже достаточно стабильный релиз и создают версию 6.48.5 но уже в ветке Long term.
Теперь работа происходит сразу в двух ветках. В ветке Long term происходит только исправление найденных ошибок, так появляются версии 6.48.6, 6.48.7.
А в ветке Stable появляется новый стабильный релиз с новыми функциями 6.49. И он начинает развиваться, появляются релизы 6.49.1, 6.49.2, 6.49.3 и так далее.
Затем они решают что релиз 6.49.7 достаточно стабилен и создают релиз 6.49.8 в ветке Long term. При этом предыдущий 6.48.7 переводят в архив.
То есть в ветке Long term выпуски 6.48.6 и 6.48.7 исправляют найденные ошибки. А версии 6.48 и 6.49 добавляют функциональность.
Просмотр доступных обновлений
Если ваш роутер имеет выход в интернет, и на нём настроен dns. То посмотреть, какая у вас ветка и версия RouterOS, а также есть ли доступные обновления, можно с помощью следующей команды:
> /system/package/update/check-for-updates channel: stable installed-version: 7.6 latest-version: 7.12 status: New version is available
У меня, как видим:
- Канал — stable;
- Установленная версия — 7.6;
- Доступная для установки версия — 7.12.
Ну а если у вас на роутере нет интернета, то можем просто посмотреть текущую версию RouterOS:
> /system/package/print Columns: NAME, VERSION # NAME VERSION 0 routeros 7.6
Смена ветки обновлений
Если вы хотите поменять ветку обновления, то выполните такую команду:
> /system/package/update/set channel=long-term
Вместо long-term вы можете указать stable, testing, или development.
Обновление RouterOS
Обновить RouterOS можно двумя способами: онлайн или офлайн:
- Онлайн обновление — это когда роутер сам скачивает обновление, обновляется и перезагружается.
- Офлайн обновление — это когда вы скачиваете файл обновления, загружаете этот файл на роутер и обновляете его.
Онлайн обновление
Если ваш роутер имеет выход в интернет и на нём настроены dns, то он может обновиться самостоятельно скачав обновления с репозитория MikroTik. Для этого выполните команду:
> /system/package/update/install
Скачается последняя версия из текущей ветки RouterOS и установится, затем ваш роутер перезагрузится.
Офлайн обновление
Дополнительно вы можете скачать обновление с сайта mikrotik.com.
Чтобы понять какое обновление скачивать, выполните команду:
> /system/resource/print uptime: 3w3d18h43m32s version: 7.6 (stable) build-time: Oct/17/2022 10:55:40 free-memory: 198.1MiB total-memory: 256.0MiB cpu: QEMU cpu-count: 2 cpu-frequency: 3693MHz cpu-load: 0% free-hdd-space: 950.1MiB total-hdd-space: 968.1MiB write-sect-since-reboot: 1600 write-sect-total: 1600 architecture-name: x86_64 board-name: x86 platform: MikroTik
Из вывода посмотрите на тип архитектуры: architecture-name: x86_64. У меня виртуальная машина с установленной RouterOS. Если у вас железный MikroTik, то архитектура может быть: mmips, mipsbe, arm, и другие.
Также в выводе посмотрите на текущую версию и ветку: version: 7.6 (stable). Это позволит вам определиться с версией обновления.
На сайте выбираете обновление для вашей архитектуры и скачиваете его. Затем загружаете этот файл на роутер. И после того, как файл будет загружен, вам останется лишь перезагрузить ваш роутер и система на нём обновится автоматически. После обновления файл обновления будет удалён с устройства.
Даунгрейдинг
Возможно ли установить более старую версию RouterOS? — Да, но только до заводской версии. Проверить заводскую версию можно с помощью следующей команды:
> /system/resource/print uptime: 4w4d18h21m5s version: 6.49.6 (stable) build-time: Apr/07/2022 17:53:31 factory-software: 6.45.9
Это ограничение, само собой, только для железных роутеров MikroTik.
Для выполнения даунгрейдинга скачиваем файл обновления для нужной версии процессора. Например была Была 7.11.1 будет 7.11. Закидываем на устройство файл обновления. И выполняем команду:
/system/package/downgrade
Ваш роутер понизит версию RouterOS и будет перезагружен.
Итог
Из статьи вы узнали про ветки релизов RouterOS и как производить обновление или даунгрейдинг RouterOS на роутерах MikroTik.
Дополнительно можете почитать справочные страницы на help.mikrotik.com:
- Upgrading and installation
- Downgrading RouterOS
Другие статьи по теме MikroTik доступны : здесь.
Имя статьи
Обновление и даунгрейдинг RouterOS
Из этой статьи вы узнаете как правильно выполнять обновление и даунгрейдинг RouterOS на роутерах MikroTik, а также разберём ветки релизов
Routeros 7 long term когда выйдет
× This alert shows on all pages. Feel free to edit this text
REMOVE THIS LINE TO ENABLE —>
ROS 7 Long Term
just joined
Topic Author
Posts: 10 Joined: Thu May 21, 2020 1:52 pm
ROS 7 Long Term
Wed Sep 28, 2022 12:28 pm
ROS 7 has been with us for quite some time (currently v7.5 in «Stable»). Are there any plans to achieve «long-term» quality so that admins using the long-term channel can roll it out to their production environments? Thank you
Last edited by starlingus on Sat Oct 01, 2022 1:07 pm, edited 2 times in total.
Forum Guru
Posts: 1344 Joined: Mon Sep 23, 2019 1:04 pm
Re: ROS 7 Long Term
Wed Sep 28, 2022 12:45 pm
Please don’t expect that a v7 long-term release means that you can upgrade without any headaches from v6 on production devices.
Forum Guru
Posts: 18685 Joined: Sun Feb 18, 2018 11:28 pm Location: Nova Scotia, Canada Contact:
Re: ROS 7 Long Term
Wed Sep 28, 2022 2:07 pm
We were all waiting for you to be ready, now MT can go ahead and publish it. ;-P
just joined
Topic Author
Posts: 10 Joined: Thu May 21, 2020 1:52 pm
Re: ROS 7 Long Term
Sat Oct 01, 2022 1:05 pm
moderator note: do not quote preceding post, just use «Post Reply».
Thank you for your comment. Based on it I rephrased my question to emphasize that this request is not just about me but about all admins following the best practice to use long-term channel for their production environments.
Last edited by starlingus on Sun Oct 02, 2022 11:15 am, edited 1 time in total.
just joined
Topic Author
Posts: 10 Joined: Thu May 21, 2020 1:52 pm
Re: ROS 7 Long Term
Sat Oct 01, 2022 1:17 pm
Please don’t expect that a v7 long-term release means that you can upgrade without any headaches from v6 on production devices.
I don’t expect that . In the past there were (here and there) some challenges related to upgrades even between long term releases, but once the upgrade was done the system was stable enough to serve production environments without any serious concerns. So it is more about a signal from MT that they believe they are there (long-term quality level) again with ROS 7.
Last edited by starlingus on Sun Oct 02, 2022 11:15 am, edited 1 time in total.
Member Candidate
Posts: 269 Joined: Mon Mar 15, 2021 9:10 pm
Re: ROS 7 Long Term
Sat Oct 01, 2022 1:29 pm
there was no suitable candidate to replace v6 as of today, until v7 can be a direct replacement to v6 from any environment out there no dice.
Forum Veteran
Posts: 877 Joined: Tue Sep 11, 2018 2:03 am Location: Ohio, USA
Re: ROS 7 Long Term
Sun Oct 02, 2022 9:47 am
Does that imply you still run Windows XP? There are things that have not worked as is in any newer version of Windows (at least without a virtual PC running XP).
Last edited by Buckeye on Sun Oct 02, 2022 10:11 pm, edited 1 time in total.
Member Candidate
Posts: 269 Joined: Mon Mar 15, 2021 9:10 pm
Re: ROS 7 Long Term
Sun Oct 02, 2022 10:31 am
For a simpler use case this is fine, but for larger environment this is no dice because there were still some critical piece still missing in v7 that already exist in v6.
BFD
VPN4
BGP Aggregate
If this 3 things go in I personally think v7 is at par now with v6. Imagine you promote v7 to an LTS and some people decided to upgrade their environment because of the tagged LTS and they are not aware that v7 is not fit in their use case because they don’t bother to check and don’t usually go to forum, this is just my 0.2$
just joined
Topic Author
Posts: 10 Joined: Thu May 21, 2020 1:52 pm
Re: ROS 7 Long Term
Sun Oct 02, 2022 11:33 am
moderator note: do not quote preceding post, just use «Post Reply».
Personally I do not see full feature parity as the main driver here (if something is missing in v7 and you want / need it you can always wait or find a different way of setup). My long-term version expectation is more targeting features quality and system stability (proven by verification selected stable version in time) — that is what I like about MikroTik, I can «set & forget», it works like a charm for ages (well at least till next long-term version is released and the upgrade is done mainly due to security fixes).
Member Candidate
Posts: 269 Joined: Mon Mar 15, 2021 9:10 pm
Re: ROS 7 Long Term
Sun Oct 02, 2022 11:53 am
Every people has their own use case and preference, we hone our network overtime and invest so much in MT from training to the hardware, so it’s our assumption and expectation that they can only deprecate V6 provided that V7 is at least feature parity with V6 or even better we only ran LTS in our network and we are force to use beta because we can’t get V6 hardware anymore, using MT as a hobby platform is pretty much different with so many people lives or customer depends on it, we have more than 10 POP’s at present across Asia that depends on the platform
Forum Guru
Posts: 18685 Joined: Sun Feb 18, 2018 11:28 pm Location: Nova Scotia, Canada Contact:
Re: ROS 7 Long Term
Sun Oct 02, 2022 5:09 pm
I am at home, I still run V6 long term on the front facing router. I use version 7 stable on MT devices behind the main router to gain access to V7 functionality.
Обновите RouterOS на вашем MikroTik
Вечером 10 марта служба поддержки Mail.ru начала получать жалобы от пользователей на невозможность подключения к IMAP/SMTP серверам Mail.ru через почтовые программы. При этом часть коннектов не проходила, а часть показывают ошибку сертификата. Ошибка вызвана тем, что «сервер» отдает самоподписаный сертификат TLS.
За два дня пришло более 10 жалоб от пользователей из самых разных сетей и с самыми разными устройствами, что делало маловероятным проблему в сети какого-то одного провайдера. Более подробный разбор проблемы выявил, что идет подмена сервера imap.mail.ru (а так же других почтовых серверов и сервисов) на уровне DNS. Дальше, при активной помощи наших пользователей, мы нашли, что причина в неправильной записи в кеше их роутера, который по совместительству является локальным DNS резолвером, и которым во многих (но не всех) случаях оказалось устройство MikroTik, очень популярное в небольших корпоративных сетях и у маленьких провайдеров Интернет.
В чем проблема
В сентябре 2019 года исследователи нашли несколько уязвимостей в MikroTik RouterOS (CVE-2019-3976, CVE-2019-3977, CVE-2019-3978, CVE-2019-3979), которые позволяли проводить атаку DNS cache poisoning, т.е. возможность подмены DNS-записей в DNS-кеше роутера, причем CVE-2019-3978 позволяет атакующему не дожидаться, когда кто-то из внутренней сети обратится за записью на его DNS-сервер, чтобы отравить кеш резолвера, а инициировать такой запрос самому через порт 8291 (UDP и TCP). Уязвимость была исправлена MikroTik в версиях RouterOS 6.45.7 (stable) и 6.44.6 (long-term) 28 октября 2019, однако согласно исследованиям большая часть пользователей на текущий момент не установила патчи.
Очевидно, что сейчас эта проблема активно эксплуатируется «вживую».
Чем это опасно
Атакующий может подменить DNS-запись любого хоста, к которому обращается пользователь внутренней сети, таким образом перехватив трафик к нему. Если сенситивная информация передается без шифрования (например по http:// без TLS) или пользователь соглашается принять поддельный сертификат, атакующий может получить все данные, которые отправляются через соединение, например логин или пароль. К сожалению, практика показывает, что если у пользователя есть возможность принять поддельный сертификат, то он ей воспользуется.
Почему именно сервера SMTP и IMAP, и что спасало пользователей
Почему атакующие пытались перехватить именно SMTP/IMAP-трафик почтовых приложений, а не веб-трафик, хотя большая часть пользователей ходят в почту браузером по HTTPS?
Не все почтовые программы работающие по SMTP и IMAP/POP3 оберегают пользователя от ошибки, не позволяя ему отправить логин и пароль через небезопасное или скомпрометированное соединение, хотя по стандарту RFC 8314, принятому еще в 2018 (и реализованному в Mail.ru гораздо раньше), они должны защищать пользователя от перехвата пароля через любое незащищенное соединение. Кроме того, пока в почтовых клиентах очень редко используется протокол OAuth (он поддерживается почтовыми серверами Mail.ru), а без него логин и пароль передаются в каждом сеансе.
Браузеры могут быть немного лучше защищены от атак Man-in-the-Middle. На всех критичных доменах mail.ru дополнительно к HTTPS включена политика HSTS (HTTP strict transport security). При включенном HSTS современный браузер не дает пользователю простой возможности принять поддельный сертификат, даже если пользователь этого захочет. Помимо HSTS, пользователей спасало то, что с 2017-го года SMTP, IMAP и POP3-серверы Mail.ru запрещают передачу пароля через незащищенное соединение, все наши пользователи использовали TLS для доступа по SMTP, POP3 и IMAP, и поэтому логин и пароль можно перехватить только если пользователь сам соглашается принять подмененный сертификат.
Для мобильных пользователей, мы всегда рекомендуем использовать приложения Mail.ru для доступа к почте, т.к. работа с почтой в них безопасней, чем в браузерах или встроенных SMTP/IMAP клиентах.
Что нужно сделать
Необходимо обновить прошивку MikroTik RouterOS до безопасной версии. Если по какой-то причине это невозможно, необходимо отфильтровать трафик по порту 8291 (tcp и udp), это затруднит эксплуатацию проблемы, хотя и не устранит возможности пассивной инъекции в DNS-кэш. Интернет-провайдерам стоит фильтровать этот порт на своих сетях, чтобы защитить корпоративных пользователей.
Всем пользователям, которые принимали подмененный сертификат следует срочно сменить пароль электронной почты и других сервисов, для которых этот сертификат принимался. Со своей стороны, мы оповестим пользователей, которые заходят в почту через уязвимые устройства.
Как обновить RouterOS на маршрутизаторе MikroTik
Представляем видеоинструкцию для начинающих знакомиться с мощным программным обеспечением RouterOS. Выполнение нижеследующих действий позволит поддерживать актуальное состояние прошивки маршрутизатора MikroTik.
Зачем нужно обновлять роутер?
- выход версии ПО, в которой исправлены выявленные на текущий момент ошибки (пользователи пишут о них на форуме, сообщают в техподдержку или информируют производителя другим способом);
- повышение стабильности и безопасности.
Поэтому очень важно периодически проверять наличие новейшей версии программного обеспечения.
Существует три способа обновления RouterOS:
- Quick Set (Winbox)
- System > Packages (Winbox)
- С помощью сайта MikroTik
Итак, подключите маршрутизатор и откройте Winbox (утилиту для настройки роутеров MikroTik).
Способ 1.
Вверху левой колонки нажмите Quick Set.
Затем внизу кнопку Check For Updates (Проверить обновления).
В открывшемся окне одна под другой расположены строки Installed Version (Установленная версия) и Latest Version (Последняя версия), которую устройство обнаружило на сайте производителя. Можно пролистать журнал изменений со списком исправлений в предыдущей версии.
Способ 2.
Если не хотите использовать Quick Set, перейдите System (Система) > Packages (Пакеты). В окне Package List (Список установленных пакетов) представлены все установленные пользователем пакеты. Здесь также присутствует кнопка Check For Updates.
Способ 3.
Сайт MikroTik. В верхней части экрана откройте Hardware (Аппаратное обеспечение). Найдите используемое вами устройство — например, hEX PoE lite. На странице продукта перейдите на вкладку Support & Downloads (Поддержка и Загрузки). Там есть строка RouterOS current release (Текущая версия RouterOS). Нажав Download (Загрузить), скачайте свежий файл обновления. Затем просто перетащите файл в окно Winbox. Он загрузится.
Для перезапуска нажмите System > Reboot (Перезагрузить). На вопрос в диалоговом окне — Do you want to reboot the router? (Хотите перезагрузить маршрутизатор?) ответьте — Yes (Да).
Если уверены, какое устройство и системная архитектура используются, на сайте MikroTik откройте Software (Программное обеспечение) и загрузите необходимые пакеты вручную — Main Package (Основной пакет) или Extra Packages (Дополнительные пакеты). Последние содержат инструменты для продвинутых пользователей, желающих устанавливать функции по отдельности, одну за другой. Как правило, рекомендуется Main Package или, что лучше, окно Check For Updates в Winbox.
В строке Channel (Канал) окна Check For Updates в выпадающем списке можно выбрать long term, stable, testing, development.
Если вы не хотите часто проверять своё устройство на наличие новейших функциональных возможностей, оставьте long term (долгосрочный). Это стабильная версия, используемая долгое время. Все ключевые проблемы решены. Иногда выходят лишь обновления системы безопасности.
Большинству пользователей рекомендовано использовать stable (стабильный). Применяется для любой ситуации. Регулярно выходят обновления с новым функционалом и исправленными ошибками.
Testing (экспериментальный) выбирают для тестирования в условиях лаборатории, отработки нового функционала, проверки исправленной ошибки и пр.
Development (для разработок) использовался до выхода RouterOS версии 7. Применяется разработчиком. Никогда не выбирайте его для своих установок / сетей. Большинство пользователей должны отмечать stable.
Статья о переходе с шестой на седьмую версию RouterOS представлена на странице документации сайта MikroTik. Здесь вы найдёте информацию, какие функции роутеров, произведённых некоторое время назад, требуют обновления. Если же маршрутизатор абсолютно новый, уверенно выбирайте версию 7 и забудьте о версии 6.
В левой колонке нажмите Getting started (Приступить к работе) > Upgrading to v7 (Обновить до версии 7).
Включите автоматическое обновление через меню Quick Set или меню Packages. И ваш роутер будет всегда находится в обновлённом состоянии.