Революция Mikrotik: новый hAP mini и обновления RouterOS 6.38

Чуть ранее, в декабре просочилась информация по поводу DISC Lite5, тогда официальный Datasheet был выложен одним из дилеров еще до официального анонса. В январе, в рамках Newletter 75 вся просочившаяся информация подтвердилась.

На официальном форуме Mikrotik в очередной раз всплыла интересная информация. На этот раз по поводу нового маршрутизатора, который еще не представлен официально. Представитель MikroTik Support прокомментировал только то, что спецификации и цены пока не разглашаются.

Первоисточником информации выступает FCC (Federal Communications Commission), а если быть точнее, найденные документы с идентификатором FCC ID TV7931-2ND.

Документация выложена в открытом доступе на официальном сайте FCC и содержит как фотографии и описание изделия, так и все данные проводимой экспертизы. Тестирование проводилось еще в апреле 2016, в то время как сертификацию RB931-2nD, исходя из документов, получил 1 ноября.

Быть может, есть те, кто хочет почитать, как проводится проверка подобного оборудования – открывайте первоисточник, изучайте.

Внешний вид hAP mini (RB931-2nD)

Внешне RB931-2nD чем-то похож на современные приставки, на самом деле устройство очень компактное – всего 8х9 см при толщине самого устройства 2 см. У основания имеется несъемная полупрозрачная основа, шириной около 4 см из оранжевого пластика. Сам же корпус изготовлен из глянцевого пластика черного цвета, на фото можно увидеть что корпус достаточно хорошо собирает царапины.

Интерфейсы вынесены на одну из панелей. Здесь можно найти 3 сетевые интерфейса RJ45, само собой разумеется, все интерфейсы на 100 Мбит (Fast Ethernet). Первый интерфейс – WAN, оставшиеся 2 интерфейса, судя по всему локальная сеть.

Все 3 интерфейса экранированы, рядом с каждым портом размещен индикатор состояния. Чуть ниже можно увидеть еще 2 индикатора – PWR (питание) и USR (пользовательский).

Для подачи питания используется порт microUSB, в базовый комплект включен соответствующий адаптер на 5В.

Кнопка сброса и, по совместительству, WPS спрятана под самим устройством. Реализация весьма интересная.

Основание оснащено противоскользящими вставками, что для такого маленького устройства лишним не будет.

Для того, чтобы оценить размеры hAP mini, взгляните на фото. Как видим, тут тестируется вариант с белым корпусом. Как по мне – белая реализация выглядит в разы лучше черного варианта.

Что внутри hAP mini?

Внутри RB931-2nD нас ожидает PCB на основе SoC-чипа от Qualcomm. Из-за низкой детализации снимка сложно сказать, какая именно модель чипа здесь установлена, правда есть все основания полагать, что используется QCA9531 или QCA9533 с тактовой частотой 650 МГц, как и в других устройствах линейки hAP и mAP lite.

Объем флеш-памяти составит 16 Мбайт (стандарт для бюджетных устройств Mikrotik), объем оперативной памяти, 32 либо 64 Мбайт.

В документации также фигурировал PoE-адаптер, поэтому не исключено, что новинка сможет похвастаться поддержкой PoE In, как и mAP lite.

Беспроводной модуль поддерживает конфигурацию MIMO 2x2 и стандарты 802.11 b/g/n, максимальная выходная мощность модуля до 100 мВт (EIRP 22 dBm). Обе антенны встроенные и выполнены в виде травления на текстолите, согласно документации – коэффициент усиления по 1.5 дБи.

В заключение

Инженеры Mikrotik продолжают делать разные вариации одних и тех же устройств на одной и той же аппаратной платформе. Хорошо это или плохо? Скорее хорошо, т.к. пользователь получает бОльшую свободу выбора.

hAP mini хоть и схож с mAP lite – он выгодно отличается, в первую очередь наличием сразу двух дополнительных локальных интерфейсов. Не забываем, что внутри у нас будет RouterOS L4, так что при желании даже 2 провайдера можно подключить. В плане функциональности RB931-2nD смотрится куда привлекательнее и функциональнее, ведь при не намного больших размерах можно получить 2 дополнительные порта.

Выход обновления RouterOS 6.38: доработка IPSec, поддержка IKEv2, STP, LLDP, TR-069. Первые подробности RouterOS 6.39

Накануне Нового года, 30-го декабря компания Mikrotik выпустила обновление RouterOS 6.38. Чуть ранее мы уже говорили об особенностях и изменениях в новой версии.

Если у вас присутствует конфигурация VLAN и STP/RSTP в сети Layer 2, необходимо обновить все устройства до версии 6.38 во избежание возможных проблем и ошибок.

Обновление RouterOS 6.38

Доработка IPSec

Разработчики уделили много внимания IPSec, был исправлен ряд ошибок и проблем. Из важных изменений – добавление поддержки аутентификации через RADIUS для IKEv1

Также добавлена поддержка IKEv2 и сквозная аутентификация IKEv2 EAP RADIUS для респондента. В то же время, прекращена поддержка IKEv1 ah+esp.

Tool SNMP – добавлена базовая функциональность Get/Walk

Simple Network Management Protocol (SNMP) – стандартизированный протокол для управляемых устройств. Чаще всего данный протокол используется с целью сбора данных и статистики с устройств, например для Cacti, PRTG, MRTG или The Dude.

Функционал SNMP присутствовал в RouterOS и ранее, но по-умолчанию, он отключен. Если вы хотите собирать статистику, заранее необходимо включить SNMP в разделе IP–SNMP. При необходимости, можно задать версию (1-3), а также выбрать интерфейс, на котором будет работать SNMP. Можно указать несколько интерфейсов, если интерфейс не указывать – будут использоваться все доступные интерфейсы.

Пример использования snmp-walk

При выполнении команды вы получите список всех доступных данных с IP 192.168.100.1. Настоятельно рекомендуется запрашивать конкретный OID, в противном случае вы получите вывод всей информации, как необходимой, так и ненужной.

Если данных будет слишком много – вы получите ошибку «action timed out - try again, if error continues contact MikroTik support and send a supout file (13)».

Для того, чтобы узнать OID, можно использовать команду print oid, например

Далее OID можно использовать в запросе:

Как видите, функционал доступен пока только через командную строку. Будем надеяться, Mikrotik и дальше будет развивать данное направление. Для тех, кто не знаком с SNMP вообще, приведу пример использования.

При помощи Cacti, PRTG, MRTG или The Dude вы можете организовать систему мониторинга сети. Чуть ниже пример с PRTG, система автоматически определяет все интерфейсы, в том числе туннельные. Если для интерфейса указан комментарий – в качестве названия датчика берется комментарий. Также можно добавить загрузку процессора, памяти, аптайм.

Аппаратная функциональность STP для устройств CRS и плат со свичами Atheros.

Spanning Tree Protocol – канальный протокол для сетей Ethernet с произвольной иерархией, в которой присутствует несколько мостов, а сама сеть имеет избыточные связи. Основная задача STP – устранение петель, устройство автоматически выстраивает оптимальные маршруты, а избыточные (резервные) каналы/порты отключаются, чтобы не возникало зацикливаний и коллизий. Подробную информацию читайте в документации http://wiki.mikrotik.com/wiki/Manual:CRS_examples#Spanning_Tree_Protocol.

Поддержка протокола TR-069

Пока только в виде отдельного пакета tr069-client и только при использовании CLI. Больше информации можно узнать в предыдущей публикации.

Поддержка новых модемов 3G/4G LTE

В RouterOS 6.38 добавлена поддержка новых модемов Vodafone K4201-Z, Novatel USB620L, PANTECH UML295 и ZTE MF90.

RB750Gr3

Для rb750Gr3 исправлена поддержка IPSec 3des+md5

Уведомление о разгоне

Начиная с версии 6.38, в случае разгона памяти/процессора, в логах системы будет отображаться соответствующее уведомление, например: «Warning: memory overclocked». Волноваться по этому поводу не стоит, Mikrotik также обещают сделать доработку данной функции.

Замечание по Fasttrack

На официальном форуме Mikrotik имеется несколько сообщений о проблемах в работе Fasttrack, поэтому рекомендуем пока воздержаться от обновления, если работа Fasttrack для вас критична.

Тестовая версия RouterOS 6.39

Как и ранее, с выходом RouterOS 6.38 разработчики сразу же начали работу над новой версией – RouterOS 6.39. Как и следовало ожидать, изменения затронули IPSec, в частности IKEv2, поддержка которого добавлена в 6.38.

Важные изменения затронули PPP, в нем полностью переписан алгоритм фрагментации (когда используется MRRU), произведена оптимизация под многоядерность.

Для wAP ac обещается улучшение производительности беспроводной сети в диапазоне 2.4 ГГц.

Полный список изменений RouterOS 6.38

• ipsec - added IKEv1 xauth user authentication with RADIUS;
• ipsec - added IKEv2 support;
• ipsec - added IKEv2 EAP RADIUS passthrough authentication for responder;
• ipsec - added support for unique policy generation;
• ipsec - removed IKEv1 ah+esp support;
• snmp - added basic get and walk functionality;
• switch - added hardware STP functionality for CRS devices and small Atheros switch chips
• tr069-client - initial implementation (as separate package) (cli only);
• winbox - Winbox 3.7 is the minimum version that can connect to RouterOS;
• arp - added "local-proxy-arp" feature;
• bonding - added "forced-mac-address" option;
• bonding - fixed "tx-drop" on VLAN over bonding on x86;
• bridge - fixed rare crash on bridge port removal;
• bridge - fixed VLAN BPDU rx and tx when connected to non-RouterOS device with STP functionality;
• bridge - require admin-mac to be specified if auto-mac is disabled;
• bridge - show bridge port name in port monitor;
• capsman - added "group-key-update" parameter;
• capsman - added possibility to change arp, mtu, l2mtu values in datapath configuration;
• capsman - fixed CAP upgrade when separate wireless package is used (introduced in 6.37);
• capsman - use correct source address in reply to unicast discovery requests;
• ccr - added AHCI driver for Samsung XP941 128GB AHCI M.2;
• certificates - added support for PKCS#12 export;
• certificates - allow import multiple certs with the same key;
• certificates - fixed crash when crl is removed while it is being fetched;
• certificates - fixed trust chain update on local certificate revocation in programs using ssl;
• certificates - if no name provided create certificate name automatically from certificate fields;
• console - fixed multi argument value unset;
• crs - added comment ability in more switch menus;
• crs - fixed rare kernel failure on switch reset (for example, reboot);
• dhcp - fixed DNS server assignment to client if dynamic server exists and is from another IP family;
• dhcp - fixed issue when dhcp-client was still possible on interfaces with "slave" flag and using slave interface MAC address;
• dhcp - show dhcp server as invalid and log an error when interface becomes a slave;
• dhcp-server - fixed when wizard was unable to create pool >dhcp_pool99;
• discovery - added LLDP support;
• discovery - removed 6to4 tunnels from "/ip neighbor discovery menu";
• dns - added "max-concurrent-queries" and "max-concurrent-tcp-sessions" settings;
• dude - changes;
• ethernet - added "k" and "M" unit support to Ethernet Bandwidth setting;
• ethernet - fixed "tx-fcs-error" on SFP+ interfaces when loop-protect is enabled;
• export - do not show interface comment in "/ip neighbor discovery" menu;
• export - updated default values to clean up export compact;
• fastpath - fixed rare crash;
• fastpath - fixed x86 bridge fast-path status shown as active even if it is manually disabled;
• file - fixed file manager crash when file transfer gets cancelled;
• firewall - added "creation-time" to address list entries;
• firewall - added sctp/dccp/udp-lite support for "src-port", "dst-port", "port" and "to-ports" firewall options;
• firewall - do not defragment packets which are marked with "notrack" in raw firewall;
• firewall - fixed "time" option by recognizing weekday properly (introduced in v6.37.2);
• firewall - fixed dynamic raw rule behaviour;
• firewall - fixed rule activation if "time" option is used and no other active rules are present;
• firewall - increased max size of connection tracking table to 1048576;
• firewall - new faster "connection-limit" option implementation;
• firewall - significantly improved large firewall rule set import performance;
• graphing - fixed queue graphs showing up in web interface if aggregate name size >57840 symbols;
• health - show power consumption on devices which has voltage and current monitor;
• hotspot - fixed nat rule port setting in "hs-unauth-to" chain by changing it from "dst-port" to "src-port" on Walled Garden ip "return" rules;
• interface - changed loopback interface mtu to 1500;
• interface - do not treat multiple zeros as single zero on name comparison;
• interface - show link stats in "/interface print stats-detail" output;
• ipsec - added ability to specify static IP address at "send-dns" option;
• ipsec - added ph2 accounting for each policy "/ip ipsec policy ph2-count";
• ipsec - allow to specify explicit split dns address;
• ipsec - changed logging topic from error to debug when empty pfkey messages are received;
• ipsec - do not auto-negotiate more SAs than needed;
• ipsec - ensure generated policy refers to valid proposal;
• ipsec - fixed camellia crypto algorithm module loading;
• ipsec - fixed IPv6 remote prefix;
• ipsec - fixed kernel failure on tile with sha256 when hardware encryption is not being used;
• ipsec - fixed peer configuration my-id IPv4 address endianness;
• ipsec - fixed ph2 auto-negotiation by checking policies in correct order;
• ipsec - load ipv6 related modules only when ipv6 package is enabled;
• ipsec - make generated policies always as unique;
• ipsec - non passive peers will also establish SAs from policy without waiting for the first packet;
• ipsec - optimized logging under ipsec topic;
• ipsec - show active flag when policy has active SA;
• ipsec - show SA "enc-key-size";
• ipsec - split "mode-config" and "send-dns" arguments;
• ipv6 - added "no-dad" setting to ipv6 addresses;
• ipv6 - fixed "accept-router-advertisements" behaviour;
• ipv6 - moved empty IPv6 pool error message to error topic;
• lcd - improved performance, causes less cpu load;
• led - fixed dark mode for cAP 2nD;
• log - fixed "System rebooted because of kernel failure" message to show after 1st crash reboot;
• lte - added support for more Vodafone K4201-Z, Novatel USB620L, PANTECH UML295 and ZTE MF90 modems;
• lte - allow to execute concurrent info commands;
• lte - fixed dwm-222, Pantech UML296 support;
• lte - fixed init delay after power reset;
• lte - increased delay when setting sms send mode;
• lte - return info data when all the fields are populated;
• metarouter - fixed startup process (introduced in 6.37.2);
• mmips - fixed traffic accounting in "/interface" menu;
• ospf - fixed route crash caused by memory corruption when there are multiple active interfaces;
• ppp - fixed packet size calculation when MRRU is set (was 2 bytes bigger than MTU allows);
• ppp - significantly improved shutdown speed on servers with many active tunnels;
• ppp - significantly improved tunnel termination process on servers with many active tunnels;
• profile - added "bfd" and "remote-access" processes;
• profile - added ability to monitor cpu usage per core;
• profile - make profile work on mmips devices;
• profile - properly classify "wireless" processes;
• queue - fixed "time" option by recognizing weekday properly (introduced in v6.37.2);
• radius - added IPSec service (cli only);
• rb750Gr3 - fixed ipsec with 3des+md5 to work on this board;
• rb850Gx2 - fixed pcb temperature monitor if temperature was above 60C;
• resolver - ignore cache entries if specific server is used;
• routerboot - show log message if router CPU/RAM is overclocked;
• script - increment run count value when script is executed from snmp;
• snmp - always report bonding speed as speed from first bonding slave;
• snmp - fixed rare crash when incorrectly formatted packet was received;
• snmp - provide sinr in lte table;
• ssh - added routing-table setting (cli only);
• ssh - fixed lost "/ip ssh" settings on upgrade from version older than 5.15;
• system - reboot device on critical program crash;
• tile - fixed kernel failure when when IPv6 ICMP packet is sent through PPP interface;
• time - updated time zones;
• traceroute - fixed memory leak;
• traffic-flow - fixed flow sequence counter and length;
• trafficgen - fixed compact export when "header-stack" includes tcp;
• trafficgen - fixed crash when IPv6 traffic is processed;
• trafficgen - fixed potential crash when very big frame is generated;
• trafficgen - improved fastpath support;
• tunnel - fixed transmit packets occasionally not going through fastpath;
• tunnel - properly export keepalive value;
• usb - fixed kernel failure when Nexus 6P device is removed;
• users - added minimal required permission set for full user group;
• users - added TikApp policy;
• vlan - allow to add multiple VLANs which name starts with same number and has same length;
• vrrp - do not show unrelated log warning messages about version mismatch;
• watchdog - do not send supout file if "auto-send-supout" is disabled;
• webfig - added extra protection against XSS exploits;
• webfig - show ipv6 addresses correctly;
• webfig - show properly interface last-link-up/down times;
• winbox - added "Complete" flag to arp table;
• winbox - added "untracked" option to firewall "connection-state" setting;
• winbox - added Dude icon to Dude menu;
• winbox - allow to enable/disable traffic flow targets;
• winbox - allow to run profile from "/system resources" menu;
• winbox - allow to specify interface for leds with "interface-speed" trigger;
• winbox - do not allow to set "loop-protect-send-interval" to 0s;
• winbox - do not show hotspot user profile incoming and outgoing filters and marks as set if there is no value specified;
• winbox - fixed crash when legacy Winbox version was used;
• winbox - fixed default values for interface "loop-protect-disable-time" and "loop-protect-send-interval";
• winbox - fixed missing "IPv6/Settings" menu;
• winbox - fixed typo in "propagate-ttl" setting;
• winbox - make cert signing include provided ca-crl-host;
• winbox - moved ipsec peer "exchange-mode" to General tab;
• winbox - properly show VHT basic and supported rates in CAPsMAN;
• winbox - removed spare values from loop-protect menu;
• winbox - show all related HT tab settings in 2GHz-g/n mode;
• winbox - show primary and secondary ntp addresses as 0.0.0.0 if none are set;
• winbox - show proper ipv6 connection timeout;
• wireless - added API command to report country-list (/interface/wireless/info/country-list);
• wireless - added CRL checking for eap-tls;
• wireless - fixed action frame handling for WDS nodes;
• wireless - fixed custom channel extension-channel appearance in console;
• wireless - fixed full "spectral-history" header print on AP modes;
• wireless - fixed rare kernel failure when connecting to nv2 access point with legacy rate select;
• wireless - fixed upgrade from older wireless packages when AP interface had empty SSID;
• wireless - take in account channel width when returning supported channels;
• wireless - use VLAN ID 0 in RADIUS message to disable VLAN tagging;

Полный список изменений 6.39rc7

• bridge - fixed MAC address learning from switch master-port;
• capsman - support for communicating frame priority between CAP and CAPsMAN;
• dhcpv6-client - fixed dhcpv6 rebind on startup;
• dns - fixed typo in regexp error message;
• dude - changes discussed here;
• firewall - nat action "netmap" now requires to-addresses to be specified;
• ike2 - allow empty selectors to reach policy handler;
• ike2 - fixed error packet from initiator on responder reply;
• ike2 - fixed ph1 initial-contact rare desync;
• ike2 - fixed traffic selector prefix calculation;
• ike2 - show peer identity of connected peers;
• ike2 - update also local port when peer changes port;
• ipsec - fixed flush speed and SAs on startup;
• ipsec - fixed peer port export;
• ipsec - port is used only for initiators;
• leds - added lte modem access technology trigger;
• log - added warning when winbox/dude sessions was denied;
• log - improved firewall log messages when NAT has changed only connection ports;
• mmips - improved general stability;
• ovpn - fixed address acquisition when ovpn-in interface becomes slave;
• proxy - fixed "max-cache-object-size" export;
• proxy - speed-up almost empty disk cache clean-up;
• rb1100ahx2 - fixed random counter resets for ether12,13;
• ssh - fixed high memory consumption when transferring file over ssh tunnel;
• wireless - fixed issue when wireless interfaces might not show up in CAP mode;
• wireless - fixed occasional crash on interface disabling;
• ppp - completely rewritten internal fragmentation algorithm (when MRRU is used), optimized for multicore;
• capsman - added CAP discovery interface list support;
• ethernet - renamed "rx-lose" to "rx-loss" in ethernet statistics;
• health - report fan speed for RB800 and RB1100 when 3-pin fan is being used;
• led - show warning on print when "modem-signal-threshold" is not available;
• lte - added error handling for remote AT execute;
• wAP ac - improved 2.4GHz wireless performance;
• wireless - added "station-roaming" setting (cli only);
• wireless - show comment on "security-profile" if it is set (cli only);

Использованный материал