Если вы используете в качестве DynDNS встроенный сервис MikroTik, у меня печальные новости. :-(

Наблюдаются проблемы с сервисом IP Cloud.
MikroTik в курсе проблемы и работают над решением.

Обсуждение на форуме.

В качестве workaround можно временно использовать DNS'ы MikroTik:
159.148.147.201
159.148.172.251
/ip dns static add forward-to=159.148.147.201 regexp=".*mynetname\\.net" ttl=10m type=FWD

Сервис MikroTik IP Cloud восстановлен

cAP XL ac за $99
MikroTik скоро анонсирует новое устройство в серии cAP.

В новой модели используется новый дизайн антенны с лучшей мощностью и чувствительностью.

По производительности и техническим характеристикам, не связанным с беспроводной связью, модель схожа с cAP ac.

Сравнение точек доступа MikroTik серии cAP

За последние 4 недели вышло несколько Release Candidate (RC) версий #RouterOS версии 7.1 (ветка Development).

Это первые релиз кандидаты (RC), до этого публиковались только Бэта-версии.

RouterOS 7.1rc1 (2021-Aug-19):
❗️) добавлена поддержка NAT для IPv6 (только в CLI);
❗️) добавлена поддержка L2TPv3 (только в CLI);
🔅) добавлена поддержка bridge HW offload для vlan-filtering на switch чипах RTL8367 (модели RB4011, RB1100AHx4);
🔅) добавлены настройки требований сложности для паролей;
🔅) исправлена поддержка RIP (Routing Information Protocol);
🔅) добавлена поддержка скинов для WinBox (требуется WinBox v3.29);
🔅) добавлен статус пользователя "expired" с предложением изменить пароль (требуется WinBox v3.29);
🔅) общие улучшения стабильности и производительности;
🔅) другие изменения и улучшения.

RouterOS 7.1rc2 (2021-Aug-31):
🔅) добавлен флаг "failure" для VRRP;
🔅) исправлена поддержка IGMP-Proxy;
🔅) исправлена поддержка NV2;
🔅) исправлена работа virtual AP при использовании пакета wifwave2 на устройствах с заблокированным выбором страны (country locks);
🔅) улучшения конфигурации фильтров (routing filter);
🔅) улучшена стабильность системы при использовании новых типов очередей (queues): CAKE и fq_codel;
🔅) другие изменения и улучшения.


RouterOS 7.1rc3 (2021-Sep-08):
❗️) добавлена поддержка аппаратного ускорения IPSec для RB5009;
❗️) добавлена поддержка запуска Docker (TM) контейнеров;
❗️) добавлена поддержка ZeroTier (TM) для ARM и ARM64;
🔅) исправления соединений по L2TP (introduced in v7.1rc2);
🔅) исправления в работе LDPv6;
🔅) улучшения производительности и стабильности L2TPv3;
🔅) улучшения производительности и стабильности VPLS;
🔅) другие изменения и улучшения.

Давно в RouterOS (примерно с версии 4) появился функционал MetaRouter, позволяющий запускать (по-сути) виртуальную машину на роутере.
Этот функционал позволял добавить функционал, недоступный на роутере, например, можно было запустить образ openWRT для реализации DNSCrypt, хотя чаще в metaRouter запускали сервер Asterisk

Но этот функционал имел несколько значительных ограничений:
* требуется место на внутреннем накопителе для хранения образов
* поддерживаются только некоторые архитектуры CPU
* поддерживаются только одноядерные CPU

IMHO в версии RouterOS 6 MetaRouter практически не развивался.

——
За длительное время жизни этого функционала появились новые популярные решения и технологии.

Например, Docker.

Инженеры MikroTik решили реализовать возможность запуска Docker контейнеров на RouterOS.
И этот функционал уже поддерживается с версии RouterOS 7.1rc3.

Полной документации пока нет, но можно попробовать по инструкции на форуме.

UPD: Документация уже публикуется.

Список значительных изменений в #RouterOS 7.1 по сравнению с версией 6

🐧 Ядро Linux обновлено c версии 3.3.5 до 4.14.131 5.6.3
🖥 Новый стиль команд CLI
🧮Поддержка новых типов очередей (Queue) Cake, FQ_Codel

Пакеты:
-- отказ от разделения на отдельные пакеты
-- в отдельные пакеты вынесен только дополнительный функционал
-- IPv6 всегда доступен и не требует дополнительного включения пакета
-- ⏱ новый NTP клиент/сервер, который включён в основной пакет
-- 👥пакет с новым User Manager
-- 💡новый пакет iot с реализацией протокола MQTT (только для устройства KNOT)
-- новый пакет wifiwave2 для некоторых ARM устройств

🛡VPN:
-- транспорт UDP для OpenVPN
-- WireGuard
-- L2TP v3

Routing/MPLS/etc:
-- многоядерная обработка BGP
-- VXLAN
-- RPKI
-- policy routing для IPv6
-- возможность использования IPv6 nexthop для IPv4 маршрутов

🔩HW:
-- улучшена поддержка сетевых карт Intel/Mellanox и других
-- L3 HW offloading для некоторых CRS3xx (только IPv4, но с поддержкой bridge, LACP, VLAN интерфейсов)
-- L3 HW offloading с NAT для некоторых CRS3xx
-- SR-IOV для CHR
-- bridge vlan filtering на switch chip'ах Realtek

WiFi:
-- WPA3
-- 802.11 ac Wave 2 на некоторых ARM устройствах

Другое:
-- 🔐исключена поддержка blowfish-cbc для SSH
-- 🔁репликация данных connection tracking по VRRP (master to backup)
-- 🧧генерация сертификатов с помощью Let's Encrypt
-- 🔀MLAG на CRS3xx
-- NAT для IPv6
-- запуск Docker™️ контейнеров
-- ZeroTier™️ для ARM/ARM64

В начале сентября была зафиксирована крупнейшая DDoS атакак на уровне L7.
Информация от Яндекс и Qrator Labs.

Пишут про новый ботнет Mēris (по-латышски «чума»).

Исследователи из Яндекс и Qrator Labs считают, что ботнет состоит, в основном, из устройств на ОС RouterOS, при это версии RouterOS различные, вплоть до последних стабильных версий.

Предполагается наличие новой уязвимости.
——
По информации от MikroTik уязвимость, которую можно использовать "для захвата" роутера исправили ещё в 2018 году.

Вероятно, атакующие устройства были "захвачены" ещё до устранения уязвимости.
Новые версии RouterOS могут говорить о том, что злоумышленники обновляют "захваченные" устройства, для исключения "захвата" конкурентами.

Какого-либо подтверждения наличия уязвимости в актуальных версиях RouterOS нет.

Официальная новость на сайте MikroTik о ботнете Mēris
https://blog.mikrotik.com/security/meris-botnet.html

Рекомендуется проверить, что ваше устройство не используется кем-то ещё.

Если вы плохо знакомы с MikroTik RouterOS, достаточно:
0️⃣) Сохранить конфигурацию:

/system backup save
/export file=my-router-export.rsc

Обязательно скачать файлы с роутера на компьютер!
1️⃣) Обновить версию RouterOS до последней Stable (6.48.4) или Long-term (6.47.10)

/system package update
set channel=long-term
check-for-updates
install

2️⃣) Сбросить устройство

/system reset-configuration

3️⃣) Настроить устройство заново, можно использовать приложение для смартфона или QuickSet.

Если вы имеете опыт работы с оборудованием MikroTik для исключения использования устройства злоумышленником рекомендуем проверить следующее:
1️⃣) Сервис SOCKs-прокси выключен (если вы не используете его осознанно).

/ip socks set enabled=no

2️⃣) В планировщике отсутствуют подозрительные (не знакомые вам) задания.
Если вы не используете планировщик, выключите все скрипты:

/system scheduler disable [find]

3️⃣) Выключите неиспользуемые сервисы управления устройством (как правило, FTP, TELNET и API используются редко):

/ip service
disable telnet
disable ftp
disable api
disable api-ssl

4️⃣) Отсутствуют "чужие" (не знакомые вам) учётные записи.
Выключите или ограничьте "лишние" учётные записи.

/user
print
disable homyak
set cow group=read

Не рекомендуется использовать в качестве username стандартные названия (admin, root, support, ...).
5️⃣) Проверьте кто, откуда и как заходил на ваше устройство:

/log print where topics~"account"

При наличии подозрительных входом (или просто в профилактических целях) — смените пароли.
Помните, что через SSH также можно авторизоваться ключом, проверьте наличие неизвестных ключей:

/user ssh-keys print

6️⃣) Проверьте отсутствие NAT правил, перенаправляющий трафик на внешние ресурсы.
Например, мы встречали на устройствах с учётной записью admin без пароля такие правила, появляющиеся без нашего участия:
/ip firewall nat
add action=dst-nat chain=dstnat comment=bitcoin dst-address-list=bitcoin dst-port=!80,23,8291,64444,8080 protocol=tcp to-addresses=103.145.13.30 to-ports=3333
7️⃣) Проверьте отсутствие VPN-туннелей, которые вы не настраивали.
Если вы не подключаетесь к вашему роутеру по VPN, убедитесь, что все VPN-сервисы выключены:

/interface
l2tp-server server set enabled=no
pptp-server server set enabled=no
sstp-server server set enabled=no
ovpn-server server set enabled=no

Если вы не подключаетесь с вашего роутера к VPN, убедитесь, что роутер не устанавливает VPN подключения:

/interface
l2tp-client print
ovpn-client print
pptp-client print
sstp-client print

8️⃣) Проверьте настройки Firewall.
Разрешать доступ к портам управления роутера со внешних сетей, даже если порт управления изменён — плохая практика

Оказалось, что для Legacy пользователей не доступен сайт mikrotik.com.

Пользователи, с dual-stack (подключение по IPv4 и по IPv6) не заметили проблему, так как браузер автоматически подключается по протоколу, который доступен.

Не стесняйтесь просить у вашего оператора #IPv6!

Ожидаем официальный анонс 16-ти ядерного роутера CCR второй серии (на ARM архитектуре).

CCR2116-12G-4S+

https://youtu.be/TVZG7TvUxXY

Для CCR2116-12G-4S+ уже доступна брошюра на официальном сайте.

Заявляется прирост производительности:
— более чем 2х кратный при маршрутизации,
— 6-ти кратный при обработке BGP
в сравнении с CCR1036.

#RouterOS 7.1 уже вышла.

Стабильный релизу представлен 6 декабря 2021 года.

https://youtu.be/xRGBbXJc1xA

Обзор продуктов MikroTik 2021

Сергей Богинский рассказывает про новые устройства, выпущенные в уходящем году.

KNOT — IoT шлюз с большим разнобразием интерфейсов, включая WiFi, LORA и Bluetooth.
Модель для России : KNOT LR8 kit

Bluetooth маячки:
TG-BT5-IN и TG-BT5-OUT

netFiber 9 aka CRS310-1G-5S-4S+OUT
"Уличный" коммутатор с 9-ю портами для оптических линков (4x SFP+ и 5x SFP)

cAP ac XL
WiFi точка доступа с увеличенной площадью покрытия.

Chateau 5G
Красивая коробочка для подключения к мобильным сетям.

RB5009
Производительный и компактный роутер с пассивным охлаждением.

CCR2004-16G-2S+
Адски мощный 4-х ядерный роутер
16 гигабитных портов
2 SFP+ порта для 10 Гбит/сек
Два блока питания с горячей заменой

CCR2116-12G-4S+
самый мощный на текущий момент роутер MikroTik
16-ти ядерный процессор
память DDR4 16GB
слот M.2 для SSD

В праздничные дни съездил в Екатеринбург, тут обнаружено "народное" творчество, которое несколько удивляет.

А кого вспоминает вы, когда не получается что-то настроить?