Сегодня-завтра большой Европейский MUM!

Всем обладателям волшебного роутера из Латвии просто необходимо присутсттвовать в Вене (это город такой, а не то,что вы подумали) или хотя бы смотреть онлайн.

Доклады (время московское):
7 марта
- 11:00 Открытие MUM. Презентация новых продуктов
- 11:30 Распространенные ошибки в OSPF и как их избежать
- 12:00 Новые особенности IPv6 и внедрение DualStack
- 12:45 Make your LTE interface shine
- 13:15 Monitoring and debugging (with) RouterOS
- 15:30 MikroTik 60GHz news and future plans
- 16:00 Построение сети ISP с полной избыточностью
- 16:45 TR-069 and genieACS: Practical configuration
- 17:30 Оптимизаци L2 на Mikrotik

8 марта
- 11:00 Mikrotik для ISP
- 11:45 Network Design - Using MikroTik CHR as an MPLS router
- 12:45 Почему я ненавижу Mikrotik
- 13:30 Понимание пропускной способности от Яниса Мегиса
- 15:45 Анализ нашумевших экспло1тов для RouterOS
- 16:30 MikroTik QoS Wireless PTP
- 17:30 Repository based RouterOS script distribution

Более подробное описание тут
Трансляция на youtube-канале

​​​​​​​​Сегодня проходит #MUM в Калининграде, от нас доклада нет, но мы здесь!
Темы докладов и онлайн трансляция как всегда доступна тут: https://mum.mikrotik.com/?lang=RU

----
На фото - Андрей Жерносек, тренер из Калининграда:

​​​​На конференцию уже зарегистрировалось более 160 человек.

​​​​Новые и обновлённые устройства:
CRS328-24S+2Q+RM
CCR1036-12G-4S
CCR-1016-12S-1S+

Теперь с полноразмерным USB и двумя блоками питания.

На форуме операторов UKNOF 46 9 апреля обещают раскрыть детали уязвимости, которая может вызывать отказ оборудования на RouterOS, которое доступно по #IPv6.

https://indico.uknof.org.uk/event/46/contributions/667/

Из описания:
During some research which found CVE-2018-19298 (MikroTik IPv6 Neighbor Discovery Protocol exhaustion), I uncovered a larger problem with MikroTik RouterOS’s handling of IPv6 packets. This led to CVE-2018-19299, an unpublished and as yet unfixed (despite almost one year elapsing since vendor acknowledgement) vulnerability in RouterOS which allows for remote, unauthenticated denial of service. Unpublished… until UKNOF 43!

Ответ от normis (MikroTik Support) https://forum.mikrotik.com/viewtopic.php?f=2&t=147048

28 Mar 2019, 16:50
We are aware of this issue and are working on it.

-----
Деталей пока нет, но рекомендую внимательно следить за новостями на форуме MikroTik и обновлениями RouterOS.

​​​​Фото с #MUM в Калининграде:
https://mum-gallery.mikrotik.com/kaliningrad-russia-2019/678

​​Моё путешествие в Калининград проходило через Екатеринбург.
В Екатеринбурге познакомился с новым MikroTik Certified Trainer - Марина).
Договорились о сотрудничестве и совместном тренинге в Екатеринбурге.
——
Даты тренингов пока не утверждены, но записаться уже можно - пишите на info@mtik.pro.

Про уязвимости в RouterOS касательно IPv6.
https://tttttt.me/mtikpro/129
Исправления некоторых проблем уже доступны, но пока только в beta ветке:

 MAJOR CHANGES IN v6.45:
----------------------
!) ipv6 - fixed soft lockup when forwarding IPv6 packets;
!) ipv6 - fixed soft lockup when processing large IPv6 Neighbor table;
 ---------------------- 
 Changes in this release:
*) ipv6 - adjust IPv6 route cache max size based on total RAM memory;

Переписка на форуме наводит меня на мысль о том, что автор не сдал проблемы корректно в MikroTik и решил попиариться:
normis (MikroTik Support)
Fri Mar 29, 2019 4:43 pm

 He [автор планируемого доклада] did not send proof of concept for all issues, just a generic report about a crash. When he now said that CVE number such and such is not fixed, It was not clear, since we don't know what he will publish in that CVE. There is not a single issue, there are multiple issues, we fixed most, now he has stumbled upon another (memory leak in some other condition). We are fixing the others as well.

В качестве временного фикса рекомендуется добавить аналогичные указанным ниже правила в IPv6 Firewall для защиты от утечек памяти:

 /ipv6 firewall filter
add action=drop chain=forward connection-mark=drop connection-state=new
/ipv6 firewall mangle
add action=accept chain=prerouting connection-state=new dst-address=2001:db8:3::/64 limit=2,5:packet
add action=mark-connection chain=prerouting connection-state=new dst-address=2001:db8:3::/64 new-connection-mark=drop passthrough=yes

Вместо 2001:db8:3::/64 необходимо указать ваш префикс

Доступны новые версии RouterOS
версия 6.44.2 (ветка stable)
версия 6.43.14 (ветка long-term)

Изменения связаны только с работой IPv6.
https://tttttt.me/mtikpro/132
https://tttttt.me/mtikpro/129

Напоминаю, что 9 апреля на форуме операторов UKNOF 46 будут раскрыты подробности проблем RouterOS, которые потенцально могли приводить к Переполнении памяти*.
https://indico.uknof.org.uk/event/46/contributions/667/

 MAJOR CHANGES:
----------------------
!) ipv6 - fixed soft lockup when forwarding IPv6 packets;
!) ipv6 - fixed soft lockup when processing large IPv6 Neighbor table;
----------------------
Changes in this release:
*) ipv6 - adjust IPv6 route cache max size based on total RAM memory;

* про переполнение памяти - моя догадка на основе обсуждений на форуме.
Автор доклада утверждает, что возможно вызвать Отказ в Обсуживании (DoS) на маршрутизаторе с RouterOS.

​​А сегодня мы в Москве на RIPE NCC Day in Moscow!

День RIPE NCC предоставляет сетевым инженерам и другому техническому персоналу возможность поделиться знаниями и опытом, а также определить области для регионального сотрудничества.

​​На конференции выдают "Страновой отчёт: Россия".

На графике 8: "российские автономные системы и связи между ними на январь 2019."

ER-Telecom почему-то отмечен как Зарубежная транзитная сеть
😳

Попробую найти ответственного и поругаться...

RIPE NCC Country Report: Russia
https://labs.ripe.net/Members/alun_davies/ripe-ncc-country-report-russia

Российский страновой отчет дает представление о текущем состоянии развития интернета в России с точки зрения RIPE NCC. Основное внимание уделяется тенденциям роста интернета за последние пять лет с точки зрения наличия ресурсов нумерации интернета, маршрутизации, подключения, готовности IPv6 и других полезных показателей для развития интернета.

Но, судя по Твиттеру - сайт лежит и его чинят прямо сейчас.
https://twitter.com/RIPE_NCC/status/1115522441705598976

И конечно же доступна онлайн трансляция всего мероприятия на YouTube:
https://www.youtube.com/watch?v=Jx8c76cb3n4&feature=youtu.be

А вот и страновой отчёт по Росии от RIPE NCC на русском.

​​Сегодня и завтра мы в Красноярске на обучении от RIPE NCC.

Будут рассказывать:
* как быть членом RIPE NCC (LIR - Local Internet Registry);
* как корректно работать с базой RIPE.

А ниже реакция коллег на мой приезд в Красноярск:

​​Закончилось обучение от RIPE NCC в Красноярске по курсам:
* LIR Training Course
* RIPE Database Training Course

Познакомился с русскоговорящими коллегами, живущими, в основном, в Красноярске и с сотрудниками RIPE NCC:
* Alvaro Vives (https://www.ripe.net/about-us/press-centre/publications/speakers/alvaro-vives)
* Massimiliano Stucchi (https://www.ripe.net/about-us/press-centre/publications/speakers/massimiliano-stucchi)

​​Во время моего пребывания в Красноярске успел провести экспресс курс #MTCIPv6E для Руководителя программы IPv6 в RIPE NCC - Massimiliano Stucchi .

В прошлом году также провёл экспресс курс по #MTCNA. (https://tttttt.me/mtikpro/81)

Результат первой попытки Massimiliano ожидаемо лучше, чем результат моей первой попытки.

А для меня это также первый случай, когда во время тренинга мне аргументировано указывали на неточности.

К примеру, в курсе затрагивается тема фрагментации IPv6 с возможностью в первом пакете не отправлять все заголовки, а RFC7112 предлагает требовать наличие всех заголовков в первом пакете.

Общение с такими личностями всегда на пользу.

Уже скоро в 22-24 May 2019 в Рейкьявик состоится Общая встреча RIPE NCC - RIPE NCC General Meetings (GM).
Мероприятие обычно проходит дважды в год.
https://www.ripe.net/participate/meetings/gm

Обсуждения:
* Схема членских взносов
* Состав исполнительного совета
* Финансовый отчёт за прошедший период

В целом, всё как обычно, НО ...
... в этом году предлагают изменить схему взносов с каждого члена (LIR), которая (возможно) будет применена с 2020 года.
https://www.ripe.net/participate/meetings/gm/meetings/may-2019/supporting-documents

Вариант A: оставить как раньше.
Каждый LIR платит по 1400 €, а также по 50 € за каждый поддерживаемый PI-блок.

Вариант B:
Каждый LIR платит по 1150 €, а также по 50 € за каждый объект (ASN, PI/PA блок).

——
Как обычных пользователей нас это не собо касается, но я посчитал, как изменится ежегодный взнос для крупных российских операторов:

| РТК |+ 18600 € |
| МТС |+ 9700 € |
| ЭРТХ |+ 8800 € |
| ТТК |+ 5650 € |
| БиЛайн |+ 5550 € |

Подсчёт очень примерный на основании данных RIPE NCC о выданных ресурсах:
https://ftp.ripe.net/pub/stats/ripencc/membership/alloclist.txt

Как считаете, примут ли новую схему (Вариант B)?