A Mizu MikroTik sorozat a RouterOS legfontosabb változásairól szól. A sorozatban elsődlegesen az új funkciókra koncentrálunk, a javításokat csak nagyon indokolt, sokakat érintő esetben említek meg. Ebben a részben a v7.19 kerül terítékre:

Hallgasd meg útközben és később próbáld ki, vagy lapozz lejjebb és olvasd el a cikket!

IP Services: új bejegyzések

Az IP menü Services pontjában azokat az IP szolgáltatásokat találtuk, amiken keresztül az eszközhöz menedzsment hozzáférést lehet szerezni az eszközhöz és amiknek máshol nincs konfigurációs felülete. Most bővült a lista és a lehetőségek: egyrészt a szolgáltatásoknál mostantól megadható maximális kapcsolat szám, amit az adott szolgáltatás elfogadhat. Az alapértelmezett érték 20 lett. Másrészt megjelenik a listában D flag-gel az összes olyan szolgáltatás, ami be van kapcsolva a routeren. Harmadrészt pedig megjelennek c flagg-gel azok, amikre valaki be is van csatlakozva: ez esetben a Remote és local mezőkkel azt is látjuk, hogy honnan történt a csatlakozás és az eszközünk melyik címére.

Új monitoring lehetőségek (R)STP esetén

A bridge portok státuszánál jelent meg jópár olyan új STP-hez köthető monitoring mező, amik hibakeresésnél egyszer lehet, hogy jól fognak jönni: Mikor volt utoljára topológia változás? Mennyi BPDU üzenet jött be és ment ki? Mennyi Topolgy Change (TC) üzenet jött be, illetve ment ki? Hányszor került a port Discarding, vagy Forwarding állapotba?

Trusted root store

A RouterOS egy Trusted Root store-t kapott, amiben a megbízható legfelsőszintű tanúsítványok kapnak helyet. Ennek köszönhetően mostantól nem kell CA-t importálni, hogy ha pl adlist-et HTTPS-sel akarunk letölteni, vagy DNS over HTTPS-t, azaz a DoH protokollt szeretnénk használni, amivel titkosítva közlekednek a DNS szolgáltató és hálózatunk között a DNS kérések-válaszok, szinte nullára csökkentve a DNS eavesdropping és DNS man in the middle (v. DNS spoofing) támadások esélyét.

Kitérő, ha nem ismernéd ezeket a támadási formákat: az eavesdropping lényegében hallgatózás: a támadó figyeli, hogy a cél milyen DNS kéréseket bonyolít le és ez felderítéshez, célzott támadások előkészítéséhez szükséges. A spoofing pedig már egy ilyen célzott támadás: amikor a támadó elkapja a titkosítatlan DNS forgalmakat és hamis választ ad vissza, ezzel pl. az általa hamisított banki oldalra visz az eredeti bank oldal helyett. Mindkettőre megoldást nyújt a DNS over HTTPS

DHCP változások

Ha valamit eddig változtattál egy DHCP szerveren akkor az új infókat csak akkor kapták meg a kliensek, amikor lejárt a címbérleti idejük. Jobb esetben már valamivel hamarabb, sőt akár a címbérlet felénél is, de ez egy sok órás, vagy akár több napos lesase time-okkal működő szervernél nem ideális. Szerencsére megérkezett a DHCPv4 reconfigure. Változatnál egy kliens címén, vagy a gateway-en? Csináld meg a beállításokat, nyomd meg a Send Reconfigure gombot és kész. Szépséghiba is van: 3 féle OS-t néztem meg, ezekben sajnos nincs implementálva: Windows 11, Ubuntu 24.04, Android 15. Reméljük ez a helyzet változni fog, de addig is: ha van egy több eszközös MikroTik hálózatod, azon máris tudod használni. Elkerülte a figyelmem, de egyébként ez már a 7.17-es verzióban is benne volt IPv6-ra. És ha már IPv6 és DHCP: 7.19-től van itt is check-gateway, valamint megadhatjuk, hogy melyik VRF-be kerüljön a default gateway.

A visszatérők: dynamic-in és connected-in routing filter chain-ek

A 7-es RouterOS-ből egészen mostanáig hiányzott a két nevezett chain, pedig igen hasznosak voltak: 6-os RouterOS alatt ezekkel lehetett a Connected route-ok, vagy a nem dinamikus routing protokollból származó dinamikus route-ok (pl. DHCP által kapott default gateway) jellemzőit megváltoztatni. Pl kommentelni ilyen route-okat, vagy akár csak bekapcsolni utóbbiakon a check-gateway-t. A két chain a 7.19-es verzióval visszatért!

Wifi változások

Először is: érkezett egy channel.reselect-time beállítás (egyelőre csak CLI-n), mivel azt tudod beállítani, hogy egy nap melyik időpontjában történjen új csatorna választás. Céges több AP-s hálózaton ideális lehet ez a beállítás, mondjuk pár perccel eltolva az AP-k beállításait egymáshoz képest. A választás egyébként background scan-nel működik.

Aztán érkezett egy új WPA2 mód, ami SHA256-tal végzi a key derivation folyamatot, így téve azt biztonságosabbá (szintén még csak CLI-n).

A Winbox-ba pedig megérkezett a wifi registration table-be a MAC telnet lehetőség, amivel be tudsz lépni pl. egy AP-ról egy rá csatlakoztatott RouterOS-t futtató kliensbe. Beköltözött a Winbox-ba egy korábban csak CLI-n elérhető beállítás is, a Multi Passphrase Group is, amivel egy AP-nak több jelszót is megadhatunk.

Hasznos továbbiak:

Először is egy fontos javítás: ha gyorsan egymásután ki-, majd bekapcsoltad a Back to Home funkciót, akkor lehettek zavarok. Most egy javítást kapott ez a funkció. A BTH-ról itt olvashatsz bővebben.
Az LACP bonding mostantól nem csak aktív, hanem passzív módban is működhet.
Show-hidden paraméter kapott CLI-n a file/print parancs, amivel rejtett fájlok megjeleníthetők, törölhetők.
A sniffer max-packet-size kapcsolót kapott, amivel beállítható, hogy akár 64k-s keretek sniff-elése is megtörténjen.
AMT – élt egy főverziót: a 7.18-ban bemutatott Automatic Multicast Tunneling-et kivették ebből a kiadásból.
Új device mode érkezett a rose, ami container funkciót is bekapcsolja automatikusan. A device mode-okról itt olvashatsz bővebben.
Új firmware a 802.3at/bt controller board-okra: ez azt is jelenti, hogy a frissítés kivételesen újraindítja a PoE eszközöket
Két új csomag: wifi-mediatek és switch-marvell, amik új hardverekhez fognak kelleni. Kíváncsian várom, hogy mik lesznek ezek!