Официальная новость на сайте MikroTik о ботнете Mēris
https://blog.mikrotik.com/security/meris-botnet.html

Рекомендуется проверить, что ваше устройство не используется кем-то ещё.

Если вы плохо знакомы с MikroTik RouterOS, достаточно:
0️⃣) Сохранить конфигурацию:

/system backup save
/export file=my-router-export.rsc

Обязательно скачать файлы с роутера на компьютер!
1️⃣) Обновить версию RouterOS до последней Stable (6.48.4) или Long-term (6.47.10)

/system package update
set channel=long-term
check-for-updates
install

2️⃣) Сбросить устройство

/system reset-configuration

3️⃣) Настроить устройство заново, можно использовать приложение для смартфона или QuickSet.

Если вы имеете опыт работы с оборудованием MikroTik для исключения использования устройства злоумышленником рекомендуем проверить следующее:
1️⃣) Сервис SOCKs-прокси выключен (если вы не используете его осознанно).

/ip socks set enabled=no

2️⃣) В планировщике отсутствуют подозрительные (не знакомые вам) задания.
Если вы не используете планировщик, выключите все скрипты:

/system scheduler disable [find]

3️⃣) Выключите неиспользуемые сервисы управления устройством (как правило, FTP, TELNET и API используются редко):

/ip service
disable telnet
disable ftp
disable api
disable api-ssl

4️⃣) Отсутствуют "чужие" (не знакомые вам) учётные записи.
Выключите или ограничьте "лишние" учётные записи.

/user
print
disable homyak
set cow group=read

Не рекомендуется использовать в качестве username стандартные названия (admin, root, support, ...).
5️⃣) Проверьте кто, откуда и как заходил на ваше устройство:

/log print where topics~"account"

При наличии подозрительных входом (или просто в профилактических целях) — смените пароли.
Помните, что через SSH также можно авторизоваться ключом, проверьте наличие неизвестных ключей:

/user ssh-keys print

6️⃣) Проверьте отсутствие NAT правил, перенаправляющий трафик на внешние ресурсы.
Например, мы встречали на устройствах с учётной записью admin без пароля такие правила, появляющиеся без нашего участия:
/ip firewall nat
add action=dst-nat chain=dstnat comment=bitcoin dst-address-list=bitcoin dst-port=!80,23,8291,64444,8080 protocol=tcp to-addresses=103.145.13.30 to-ports=3333
7️⃣) Проверьте отсутствие VPN-туннелей, которые вы не настраивали.
Если вы не подключаетесь к вашему роутеру по VPN, убедитесь, что все VPN-сервисы выключены:

/interface
l2tp-server server set enabled=no
pptp-server server set enabled=no
sstp-server server set enabled=no
ovpn-server server set enabled=no

Если вы не подключаетесь с вашего роутера к VPN, убедитесь, что роутер не устанавливает VPN подключения:

/interface
l2tp-client print
ovpn-client print
pptp-client print
sstp-client print

8️⃣) Проверьте настройки Firewall.
Разрешать доступ к портам управления роутера со внешних сетей, даже если порт управления изменён — плохая практика

Оказалось, что для Legacy пользователей не доступен сайт mikrotik.com.

Пользователи, с dual-stack (подключение по IPv4 и по IPv6) не заметили проблему, так как браузер автоматически подключается по протоколу, который доступен.

Не стесняйтесь просить у вашего оператора #IPv6!

Ожидаем официальный анонс 16-ти ядерного роутера CCR второй серии (на ARM архитектуре).

CCR2116-12G-4S+

https://youtu.be/TVZG7TvUxXY

Для CCR2116-12G-4S+ уже доступна брошюра на официальном сайте.

Заявляется прирост производительности:
— более чем 2х кратный при маршрутизации,
— 6-ти кратный при обработке BGP
в сравнении с CCR1036.

#RouterOS 7.1 уже вышла.

Стабильный релизу представлен 6 декабря 2021 года.

https://youtu.be/xRGBbXJc1xA

Обзор продуктов MikroTik 2021

Сергей Богинский рассказывает про новые устройства, выпущенные в уходящем году.

KNOT — IoT шлюз с большим разнобразием интерфейсов, включая WiFi, LORA и Bluetooth.
Модель для России : KNOT LR8 kit

Bluetooth маячки:
TG-BT5-IN и TG-BT5-OUT

netFiber 9 aka CRS310-1G-5S-4S+OUT
"Уличный" коммутатор с 9-ю портами для оптических линков (4x SFP+ и 5x SFP)

cAP ac XL
WiFi точка доступа с увеличенной площадью покрытия.

Chateau 5G
Красивая коробочка для подключения к мобильным сетям.

RB5009
Производительный и компактный роутер с пассивным охлаждением.

CCR2004-16G-2S+
Адски мощный 4-х ядерный роутер
16 гигабитных портов
2 SFP+ порта для 10 Гбит/сек
Два блока питания с горячей заменой

CCR2116-12G-4S+
самый мощный на текущий момент роутер MikroTik
16-ти ядерный процессор
память DDR4 16GB
слот M.2 для SSD

В праздничные дни съездил в Екатеринбург, тут обнаружено "народное" творчество, которое несколько удивляет.

А кого вспоминает вы, когда не получается что-то настроить?

Названия устройств MikroTik по-настоящему не просто страшный набор цифр и букв.
Название содержит технические характеристики устройства.

что означает каждый символ в названии можно посмотреть на странице help.mikrotik.com: Product Naming.

Модели CCR имеют достаточно простое наименование:

CCR<4 цифры>-<список портов>-<тип корпуса>

Например:

CCR1009-7G-1C-1S+PC
CCR2004-1G-12S+2XS
CCR2004-16G-2S+
CCR2004-1G-2XS-PCIe
CCR2116-12G-4S+
CCR1036-8G-2S+EM
CCR1072-1G-8S+
CCR2216-1G-12XS-2XQ

CCR — Cloud Core Router

Цифры:
• 1-я — серия
••• серия 1 — модели на процессорах TILE
••• серия 2 — модели на процессорах ARM64
• 2-я — по документации зарезервирована (на первой серии: всегда "0", на второй серии "0"/"1"/"2")
• 3-4-е — количество ядер CPU

Список портов:
• -<n>G — кол-во портов 1G Ethernet
• -<n>P — кол-во портов 1G Ethernet с PoE-out
• -<n>C — кол-во комбо портов 1G Ethernet/SFP
• -<n>S — кол-во портов 1G SFP
• -<n>G+ — кол-во портов 2.5G Ethernet
• -<n>P+ — кол-во портов 2.5G Ethernet с PoE-out
• -<n>C+ — кол-во комбо портов 10G Ethernet/SFP+
• -<n>S+ — кол-во портов 10G SFP+
• -<n>XG — кол-во портов 5G/10G Ethernet
• -<n>XP — кол-во портов 5G/10G Ethernet с PoE-out
• -<n>XC — кол-во комбо портов 10G/25G SFP+
• -<n>XS — кол-во портов 25G SFP28
• -<n>Q+ — кол-во портов 40G QSFP+
• -<n>XQ — кол-во портов 100G QSFP+

Тип корпуса (используемые для CCR):
• EM — extended memory — увеличенный объём памяти (по сравнению с моделью без -EM)
• PC — Passive Cooling — корпус с пассивным размещением
• PCIe — в корпусе для установки в PCIe слот компьютера

ТРЕНИНГИ В ПЕРМИ 2022
#MTCNA — 4-6 марта
#MTCRE — 1-3 апреля

#MTCNA — 13-15 мая
#MTCIPv6E — 17-19 июня
#MTCNA — 23-25 сентября

Стоимости тренингов*:
NA - 20 000 рублей
RE / IPv6E - 22 000 рублей

В стоимость включены:
— часы занятия (с 09:00 до 19:00);
— распечатанные учебные материалы;
— оборудование для лабораторных работ;
— кофе-брейки;
— обеды;
— тестирование и сертификация MikroTik;
— лицензия RouterOS level 4;
— приятные бонусы.

*Предоставляются скидки. Обсуждается индивидуально.

Хочешь стать сертифицированным специалистом MikroTik, зарегистрируйся на тренинг по ссылке —> https://mtik.pro/lime/

Архитектура первой серии MikroTik CCR -- TILE.
MikroTik выпускает оборудование в форме отдельного устройства, но встречалось и другое оборудование на платформе TILE, например, PCIe карты в компьютеры, которые позволяли обрабатывать трафик на самой карте без нагрузки CPU.

Модели CCR1036 построены на базе процессора TILE-Gx с 36-ю ядрами частотой 1.2ГГц.
На этом процессоре 4 сетевых интерфейса, каждый из которых может использоваться как 10Гбит/сек или как 4x 1Гбит/сек.

Отсюда и разные варианты моделей
CCR1036-12G-4S -- 16 портов 1 Гбит/сек
CCR1036-8G-2S+ -- 8 портов 1 Гбит/сек + 2 порта 10 Гбит/сек

Скоро MikroTik анонсирует новые модели CCR второй серии.

Одна из моделей как раз в форм-факторе PCIe карты.

CCR2004-1G-2XS-PCIe

Основные характеристики:
• порт ethernet 1 Гбит/сек
• 2 порта SFP28 (25Гбит/сек)
• 4 GB DDR4 RAM
• 128 MB NAND storage
• формат Low Profile (PCIe 3.0 x8)

Основная идея:
Использовать процессор ARM64 вместо узко специализированного ASIC'а.

При этом реализован режим passthrought, позволяющий использовать устройство как сетевую карту.
Заявлено, что wire speed достигается без ограничений со стороны карты.

При этом ожидаемая стоимость всего: $200 (но это не точно).

Видео с дополнительной информацией о CCR2004-1G-2XS-PCIe
https://youtu.be/GT1EWteOpTc

Новая модель CCR второй серии
CCR2216-1G-12XS-2XQ — $2800
https://youtu.be/7_uLxZYYEpQ

Используется 16-ти ядерный 64-битный процессор ARMv8 и switch chip Marvell 98DX8525.

RouterOS 7 позволяет использовать множество функционала по аппаратной разгрузке (HW offload), предоставляемые switch chip'ом, но при этом позволяет производить более сложные "манипуляции" с трафиком на CPU.