MikroTik e Hotspot 2.0 (802.11u e/o Wi-Fi Certified Passpoint), guardate cosa ho scoperto!

MikroTik e Hotspot 2.0 (802.11u e/o Wi-Fi Certified Passpoint), guardate cosa ho scoperto!

Sicuramente conoscerete i nuovi standard Hotspot 2.0, Wi-Fi Certified Passpoint e 802.11u vero? Se non conoscete ancora le nuove specifiche, che descrivono gli hotspot del "futuro", vi invito a visionare i molti docs presenti su internet, alla fine di questo post ne metterò alcuni, in ogni caso sappiate che la maggior parte dei device client presenti sul mercato (sia Apple, Windows o Android) già supportano il "Wi-Fi Certified Passpoint" o Hotspot 2.0 che è una applicazione della WiFi Alliance che si basa sulle specifiche del protocollo 802.11u.

Per chi mi conosce sa che seguo, da sempre, gli sviluppi sia teorici che pratici degli hotspot WiFi, in particolare, sia le sue applicazioni attuali, sia gli sviluppi futuri. Quindi, è ovvio che seguo anche le novità introdotte dal protocollo 802.11u e dal Wi-Fi Certified Passpoint.

Essendo Trainer MikroTik, ogni volta che esce un nuovo firmware, cerco nei changelog qualcosa a riguardo i nuovi standard 802.11u o Hotspot 2.0, ma purtroppo, fino ad oggi, senza successo.

Pochi giorni fa però, girovagando per caso su un terminale di una Routerboard wireless mi è sfuggito un TAB di troppo e mi è apparso un menù mai visto fino ad oggi, il menù "interworking-profiles":

MikroTik e Hotspot 2.0 (802.11u e/o Wi-Fi Certified Passpoint), guardate cosa ho scoperto!

come potete notare, dentro wireless, da un po' di versioni (lo screenshoot è stato acquisito su una 6.33.3) abbiamo un nuovo sotto-menù non documentato. Infatti anche cercando sul wiki ufficiale di MikroTik ma non ho trovato alcuna documentazione in merito e questo mi fa pensare che MikroTik ci stia lavorando ma che non sia ancora pronta per annunciarne l'uscita.

Direi, senza ombra di dubbio, che questa sia un'ottima notizia. Temevo che MikroTik non si allineasse con i "big" degli hotspot (Rockuss, Aruba etc) ma rimanesse "indietro", ma anche questa volta MikroTik non ha deluso.

Come potete apprezzare si parla esplicitamente di hotspot20, ASRA, 3GPP... tutte voci che si leggono nei docs di altri brand ufficialmente compatibili con il nuovo standard hotspot 2.0, come ad esempio Aruba Networks:

http://www.arubanetworks.com/techdocs/ArubaOS_64_Web_Help/Content/ArubaFrameStyles/hotspot/predepoyment_overview.htm

Per adesso mi limito a segnalarvi questa "scoperta", dopo aver studiato un po' meglio quello che MikroTik sta sviluppando farò alcuni test e vi aggiornerò.

Ecco qui alcuni link relativi allo standard 802.11u e al WiFi Certified Passpoint (Hotspot 2.0):

https://en.wikipedia.org/wiki/IEEE_802.11u#Hotspot_2.0

https://standards.ieee.org/findstds/standard/802.11u-2011.html

https://www.wi-fi.org/discover-wi-fi/wi-fi-certified-passpoint

Conoscete già il nuovo standard Hotspot 2.0 ed le sue specifiche? Sapevate di questo nuovo menù non documentato che rende MikroTik compatibile con il Wi-Fi Certified Passpoint? Lo avete già provato su MikroTik?

Se pensate che questo articolo possa interessare ai vostri colleghi condividetelo subito su Linkedin!

 

MikroTik, nuovo pacchetto Wireless-rep, vediamo in dettaglio le novità

MikroTik, nuovo pacchetto Wireless-rep, vediamo in dettaglio le novità

RouterOS-Nuovo-Pacchetto-Wireless-Rep

MikroTik nelle sue ultime release di RouterOS ha rilasciato un nuovo pacchetto wireless chiamato “Wireless-rep”.  Quali sono i cambiamenti introdotti da questo nuovo package? Andando ad analizzarli direi che ci sono delle interessanti e potenti novità sul campo wireless, come il “Repeater-mode“, il “Background Scan” e lo “Station Roaming“. Vediamo in dettaglio cosa introduce il nuovo pacchetto “Wireless-rep”. (altro…)



Utilizzare GMail come SMTP per i device MikroTik (e non)

Utilizzare GMail come SMTP per i device MikroTik (e non)

WirelessGuru Mikrotik utilizzare SMTP GMailAvete un account GMail e volete utilizzarlo come server SMTP dei vostri apparati MikroTik?

Nessun problema basterà andare in Tools -> Email e configurare il server di invio con smtp.google.com, porta 587, TLS su yes e le vostre credenziali di GMail.

Mikrotik SMTP Gmail

a questo punto tramite il pulsante “Send Email” potrete testare l’invio della mail… funziona?

No! Se aprite i log troverete che Google rifiuta la vostra email.

Mikrotik SMTP Gmail log

Come mai questo comportamento? Vediamo subito come risolvere. (altro…)



Rilevata importante vulnerabilità apparati Ubiquiti.

Rilevata importante vulnerabilità apparati Ubiquiti.

Ubiquiti rilevato virus per AirOS

Per tutti gli utilizzatori di Ubiquiti, leggere con attenzione questo articolo.

In questi giorni è stata rilevata un’attività virale che riesce a rendere inutilizzabili i prodotti Ubiquiti con sistema operativo AirOS non aggiornato.

Nella maggioranza dei casi i device vengono resettati a factory default, in altri casi rimangono operanti ma inaccessibili (credenziali modificate).

Il virus utilizza un exploit HTTP/HTTPS per avere accesso agli apparati ed essendo un exploit non necessita di alcuna credenziale, quindi non stiamo parlando di password lasciate a default o poco sicure.

Avere quindi un apparato con AirOS non aggiornato ed esposto direttamente su internet tramite le porte standard (TCP/80 HTTP e TCP443/HTTPS) significa essere sensibili all’attacco.

Ad oggi ho molte segnalazioni di WISP e System Integrator che hanno subito tale attacco.

Cosa fare?

Se non siete stati ancora colpiti: aggiornate subito AirOS all’ultima versione, questa operazione è sufficiente a rendervi immuni all’attacco.

Se invece siete stati colpiti dal virus Ubiquiti ha prontamente creato un Removal Tool scaricabile a questo link:
http://www.ubnt.com/downloads/XN-fw-internal/tools/CureMalware-0.7.jar

ed anche una app per Android che identifica e rimuove il virus, l’app la potete scaricare da Google Play a questo link:
https://play.google.com/store/apps/details?id=virusfixer.ubnt.com.ubntvirusremoval

Maggiori informazioni le potete trovare sul blog ufficiale Ubiquiti:

http://community.ubnt.com/t5/airMAX-Updates-Blog/Important-Security-Notice-and-airOS-5-6-5-Release/ba-p/1565949

Eccovi infine una tabella riepilogativa delle versioni firmware immuni:

ubnt-firmware-virus-immune

Avete esperienze da condividere riguardo al Virus che ha colpito gli apparati Ubiquiti in questo periodo (Maggio 2016)?

Condividete su Linkedin ed inoltrate via email questo post a tutti i vostri colleghi in modo che si possa correre ai ripari. Sembra che il virus riesca a replicarsi da un apparato all’altro. Va quindi debellato.



MikroTik Logging: inserire il nome utente nelle righe di log per gli Hotspot o PPPoE server

MikroTik Logging: inserire il nome utente nelle righe di log per gli Hotspot o PPPoE server

WirelessGuru-Mikrotik-Log-Hotspot-Connection-Part-2-username-add-on-every-log-lineAlzi la mano chi non ha mai desiderato avere direttamente fruibile l'username, che in molti casi si traduce nel numero di cellulare, in ogni riga di log generata dal nostro fido hotspot (o pppoe server) realizzato con MikroTik.

Come avete visto dal precedente articolo MikroTik Hotspot: Come loggare il traffico degli utenti (parte 1) si può realizzare in maniera molto efficace un logging, perfettamente a norma di legge, delle connessioni che transitano nella rete autenticata tramite hotspot (o pppoe server). Vi invito a leggerlo se non lo avete ancora visionato.

La totalità degli hotspot che mi è capitato di analizzare (e di realizzare) fino ad oggi utilizzavano quelle regole per attivare il logging. Però ogni qualvolta dovevano essere analizzati, per esempio a seguito di richiesta da parte della Polizia Postale, iniziava il "calvario" di ricercare quale username avesse quell'ip privato in quel momento. Ripeto, alzi la mano a chi non è capitato e non abbia pensato: come sarebbe grandioso avere subito l'username a portata di "mano".

Cosi' mi sono deciso di trovare una soluzione a questa problematica. Vediamo subito cosa sono riuscito a realizzare. Partiamo dal risultato:

WirelessGuru MikroTik Logging with Username in every row

Come ben vedete nel riquadro rosso abbiamo un numero di cellulare (mascherate per privacy le ultime cifre). Questo è il risultato che volevamo no? Adesso è molto semplice sapere chi alle 22:36 del 31 marzo 2916 è andato a visitare il sito web ospitato sul server 212.48.10.49.

Ma come ci siamo riusciti? Vediamolo assieme.

Regole di firewall custom ed un pizzico di scripting

Per riuscire ad inserire il nome utente nella riga di log dobbiamo utilizzare il campo "prefix" presente nella regola di firewall che genera il log, come spiegato nell' articolo precedente, quindi per ogni username ci vorrà una regola di firewall dedicata. Proprio cosi', a differenza di quello che abbiamo realizzato fino ad oggi, che con una potente ed unica regola generavamo il logging di un'intera rete, per avere regole customizzate dobbiamo obbligatoriamente avere almeno una regola per ogni username attivo nella macchina.

Ma come generiamo le regole? Ovviamente non manualmente. Ci dobbiamo avvalere di una features introdotta non da molto sul sistema operativo RouterOS. Sto parlando della possibilità di lanciare uno script per ogni utente che effettua il login e conseguentemente lanciare uno script diverso per ogni utente che effettua il logout.

Dove troviamo questa potente funzionalità? All'interno della sezione user-profile del nostro hotspot MikroTik (o pppoe server).

Per pulizia di pensiero e di lavoro creeremo una nuova catena di firewall, e la chiameremo "customlog".

All'interno dello script che viene chiamato ogni volta che l'utente fa login possiamo utilizzare delle variabili, a noi interessano per i nostri scopi le variabili $user e $address che contengono rispettivamente il nome utente e l'indirizzo io che gli è stato assegnato dal sistema.

Andremo a creare una semplice regola di firewall di questo tipo:

[syntax type="html|php|js|css"]

/ip firewall mangle add chain=customlog src-address=$address connection-state=new action=return log=yes log-prefix=$user comment=$user

[/syntax]

e la mettiamo nello script di "On login" della sezione Hotspot User Profile:

WirelessGuru-Regola-Log-Custom-In-User-Profile-1

Dopo aver inserito questa regola se proviamo a fare login nel nostro hotspot MikroTik vedremo che verrà creata una regola dinamica di firewall come dal seguente screenshoot (regola con id 1):

WirelessGuru-Hotspot-Logging-Dinamic-Firewall-Rulez

I più attenti noteranno una regola con id 0 di cui non abbiamo parlato. A cosa serve? Semplicemente serve per controllare il traffico che vogliamo redirigere alla nostra chain "customlog". In questo esempio facciamo passare tutto il traffico in forward dalla chain "customlog". Ecco la regola:

[syntax type="html|php|js|css"]/ip firewall mangle add chain=forward action=jump jump-target=customlog[/syntax]

Senza questa regola non verrà in alcun modo loggato il traffico.

Se apriamo i nostri log vedremo che il nome utente sarà correttamente presente in ogni linea di log.

Abbiamo finito quindi?

No, manca poco ma non è ancora finito.

Un po' di pulizia, rimuovere la regola di firewall al logout utente.

Dobbiamo obbligatoriamente rimuovere la regola di firewall appena creata al logout dell'utente altrimenti questa regola falserebbe i futuri log collegati a quell'indirizzo ip.

Andiamo quindi ad inserire nella sezione "On logout" del nostro Hotspot User-Profile il seguente comando:

[syntax type="html|php|js|css"]/ip firewall mangle remove [find comment="$user"][/syntax]

per far rimuovere la regola di firewall non appena il nostro utente esegue il logout (o viene buttato fuori dalla rete per inattività/idle-timeout)

WirelessGuru-Mikrotik-Hotspot-Remove-Dynamic-Firewall-Rulez-on-Logout

A questo punto abbiamo completato la configurazione e siamo riusciti con pochi semplici passi ad aggiungere in ogni riga di log, generata dal nostro router MikroTik, il nome utente del nostro sistema hotspot o pppoe che ha generato quella connessione.

Se pensate che questo articolo sia interessante, o possa interessare a qualcuno che conoscete non esitate ad inoltrarlo e/o condividerlo con i vostri colleghi sui social network.

Sei interessato all'acquisto di materiale WiFi per realizzare hotspot? Compila la form sottostante:

Nome e Cognome

Ragione sociale

Indirizzo email

Messaggio

MikroTik Hotspot: Come loggare il traffico degli utenti (parte 1)

MikroTik Hotspot: Come loggare il traffico degli utenti (parte 1)

WirelessGuru-Mikrotik-Log-Hotspot-Connection-Part-1

Realizzare delle reti Hotspot WiFi con MikroTik, a meno di non attribuire un ip pubblico per ogni utente, implica molto spesso di dover attivare un log del traffico degli utenti verso internet. Vediamo come possiamo con MikroTik attivare il logging del traffico degli utenti hotspot.

Generare i log

Grazie alla flessibilità e potenza del sistema operativo RouterOS possiamo in maniera molto semplice impostare alcune regole per tenere traccia delle attività relative agli utenti della rete wireless WiFi.

Per prima cosa andiamo nei settaggi relativi alle attività di Log ed abilitiamo il logging per hotspot e firewall:

[code]

/system logging add topics=firewall action=memory

/system loggin add topics=hotspot action=memory

[/code]

Attraverso queste due semplici regole diciamo al sistema di iniziare a tenere traccia delle attività relative all'hotspot (login, logout etc) e di "scrivere" nella RAM (memory) l'attività. Vedremo in seguito come veicolare in altri target questi log.

Adesso utilizzando il firewall andremo a creare una regola che permetta di "loggare" il traffico passante dal router:

[code]
/ip firewall mangle add chain=forward connection-state=new action=log
[/code]

Con questi semplici comandi abbiamo configurato il router MikroTik per "loggare" il traffico degli utenti, se infatti utilizziamo l'hotspot ed andiamo a vedere dentro "Log" troveremo sicuramente delle entry di questo tipo:

[code]
Feb 7 2016 20:17:59 firewall,info: in:bridge-hs out:ether1, src-mac 00:03:aa:dd:de:2c, proto TCP (SYN), 172.31.255.253:58523->64.233.166.188:5228, len 60
Feb 7 2016 20:20:16 firewall,info: in:bridge-hs out:ether1, src-mac 00:03:aa:dd:de:2c, proto TCP (SYN), 172.31.255.253:48072->64.233.167.192:7275, len 60
Feb 7 2016 20:22:59 firewall,info: in:bridge-hs out:ether1, src-mac 00:03:aa:dd:de:2c, proto TCP (SYN), 172.31.255.253:47049->64.233.184.188:5228, len 60
[/code]

ovviamente gli IP, le porte ed i mac-address varieranno dall'esempio sopra riportato!

Cosa abbiamo in queste entry? Andiamo ad analizzarle:

Feb 7 2016 10:17:59  Data ed ora del log

firewall,info  Chi ha generato il log (nel nostro caso il firewall)

in:bridge-hs out:ether1 Quali interfacce il pacchetto ha attraversato

src-mac 00:03:aa:dd:de:2c Il MAC ADDRESS del dispositivo in LAN

proto TCP (SYN) Il tipo di protocollo (TCP, UDP, etc)

172.31.255.253:58523->64.233.166.188:5228 L'ip sorgente e l'ip destinatario con le relative porte.

Come ben si nota con questa entry riesco a "loggare" il minimo indispensabile richiesto dalla normativa:

chi (ip sorgente)

dove (ip destinazione)

cosa (protocollo + porta di destinazione, ad esempio TCP/80 è una richiesta HTTP)

quando (data ed ora)

Non avremo mai nei log, ed è corretto così, l'url/dns richiesto dall'utente. Tale informazione lederebbe in maniera netta le leggi sulla privacy degli utilizzatori della nostra area Hotspot WiFi.

Per quanto riguarda il "chi" essendo un ip privato dobbiamo fare un ulteriore ricerca, e andare a vedere, a ritroso, a quale nome utente il sistema aveva assegnato quell'ip.

Scorrendo a ritroso i log troveremo sicuramente una entry tipo:

[code]

Feb 7 2016 9:23:34 hotspot, info 34733xxxxx (172.31.255.253) logged in

[/code]

dove 34733xxxxx è il nome utente e 172.31.255.253 è l'ip associato al momento del login. Questo IP sarà dell'utente per tutta la durata della sua sessione (fino al suo logout dalla rete), dopo il logout quell'ip sarà riutilizzato da un'altro utente, fate quindi attenzione quando andate ad incrociare i dati.

Se vi chiedete se c'è un modo per avere l'username direttamente nella entry di log senza andare a ricercarlo a ritroso... beh leggete fino in fondo 🙂

Redirezionare i log verso un syslog remoto

A questo punto, visto che le reti hotspot generano un alto numero di entry log, dobbiamo redirezionare tali log verso un syslog esterno. Non possiamo lasciarli come sono adesso in quanto si cancellerebbero ad ogni riavvio o al superamento di una soglia (piuttosto bassa).

Procediamo con il configurare l'ip del server syslog. Si consiglia di averlo in LAN con l'hotspot o, se volete metterlo centralizzato in Cloud, assicuratevi di avere banda internet sufficiente. Come parametro di misura considerate che ogni utente attivo genera in media 5Kb di log al secondo, quindi 100 utenti attivi sono 500Kbps e cosi' via.

Per impostare l'ip del server log, ad esempio su 192.168.0.200 digitare:

[code]
/system logging action set remote remote=192.168.0.200
[/code]

Associare adesso le due regole di logging precedentemente create alla nuova action "remote", per fare questo dobbiamo prima trovare il loro id, attraverso un comando print:

[code]
/system logging print

# TOPICS ACTION PREFIX
0 info memory
1 error memory
2 warning memory
3 critical echo
4 firewall memory
5 hotspot memory
[/code]

successivamente modifichiamo la action utilizzando il loro id (nel nostro caso 4 e 5):

[code]
/system logging set 4 action=remote
/system logging set 5 action=remote
[/code]

Adesso i nostri log verranno inviati sul server Syslog remoto tramite il suo protocollo UDP con porta 514 e saranno memorizzati in maniera permanente sullo storage.

Conclusione

Con questo articolo ho illustrato come, in maniera molto semplice, sia possibile generare il flusso di log relativo agli utenti delle aree WiFi create con i prodotti MikroTik o RouterOS based come gli apparati della linea HIPERLINK di SICE.

In un prossimo articolo, per questo il titolo del presente finisce con "parte 1", mostrerò come è possibile includere nella linea di log anche il nome utente, senza doverlo andare a ricercare a ritroso nel file di log.

Volete avere una entry log contenente anche il nome utente? Qualcosa tipo:

Feb 7 2016 20:17:59 firewall,info: 34733xxxxx in:bridge-hs out:ether1, src-mac 00:03:aa:dd:de:2c, proto TCP (SYN), 172.31.255.253:58->64.233.166.188:5228, len 60

dove 34733xxxxx è l'username dell'utente dell'area WiFi?
Allora commentate e condividete con i vostri colleghi di LinkedIn questo post il più possibile 🙂

MikroTik: DHCP server non autorizzato, come impostare un alert

MikroTik: DHCP server non autorizzato, come impostare un alert

WirelessGuru-Mikrotik-HowtoCome ben tutti noi System Administrator sappiamo il DHCP server in una LAN è diventato ormai un servizio necessario, soprattutto se forniamo connettività wireless WiFi. Ma cosa succede se nella LAN si attivano, per sbaglio, due server DHCP? Succede che la rete LAN si troverà ben presto con dei problemi e risulterà fuori controllo.

Se gestiamo una rete di un cliente, con apparati MikroTik, dobbiamo evitare nel modo più assoluto che qualcuno attivi a nostra insaputa un server DHCP, per esempio installando un router WiFi acquistato in qualche megastore.

E' possibile monitorare la rete LAN e far scattare un alert nel caso venga rilevato un server DHCP non autorizzato? Si', con MikroTik si può. Vediamo come.

Nel nostro router MikroTik dovremo andare a configurare, nella sezione DHCP server, un "alert" in caso di rilevazione server DHCP non autorizzato.

[code]

[admin@WirelessGuru] > /ip dhcp-server alert

[admin@WirelessGuru] /ip dhcp-server alert> add interface=ether1 valid-server=00:0C:42:8D:D1:30 alert-timeout=60 on-alert=":log info DHCP-ALERT" disabled=no

[/code]

Con questi semplici comandi abbiamo configurato il nostro router MikroTik per monitorare ogni minuto (alert-timeout=60s) l'interfaccia ether1, che nel mio caso è quella connessa alla LAN, se voi avete l'interfaccia ethernet collegata in un bridge è importante usare il bridge, e non l'ethernet, come interfaccia di monitoraggio.

E' fondamentale, affinchè il comando sia efficace, specificare con l'opzione "valid-server" il mac-address del dhcp server valido della rete. Tutti gli altri genereranno un alert.

Se a questo punto andiamo ad abilitare nella nostra LAN un secondo DHCP server il nostro settaggio dell'opzione "on-event" provvederà a scrivere nei log la frase "DHCP-ALERT".

Ovviamente possiamo fare ben altro, come ad esempio farci inviare dal router MikroTik una email di notifica, modificando opportunamente la sezione "on-event" in questo modo:

[code]
[admin@WirelessGuru] > /ip dhcp-server alert

[admin@WirelessGuru] /ip dhcp-server > add interface=ether1 valid-server=00:0C:42:8D:D1:30 alert-timeout=60 on-alert="/tool e-mail send to="info@wirelessguru.it" subject="ALERT Unauthorized DHCP Server" body="ALERT Server DHCP non autorizzato rilevato." disabled=no
[/code]

Ricapitolando, con questo Tool di MikroTik, se vogliamo vigilare (o ci hanno dato questo compito) su una LAN remota, saremo avvisati entro un minuto, se qualcuno per errore o per "furbizia" ha installato, e malconfigurato, un router con DHCP server attivo, nella LAN.

Spero che questa mini guida su come attivare un alert in caso di attivazione di un server DHCP non autorizzato vi sia stata utile per apprezzare e comprendere meglio le immense possibilità offerte dal sistema operativo RouterOS di MikroTik.

Come effettuare su MikroTik un remote wireless scan delle frequenze

Come effettuare su MikroTik un remote wireless scan delle frequenze

Come effettuare con MikroTik uno scan remoto delle frequenzeMolto spesso amministrando una rete wireless realizzata con apparati MikroTik, capita di dover effettuare una scansione delle frequenze su apparati remoti. Come ben sapete se eseguiamo questa operazione l’apparato perde il suo link wireless e veniamo quindi disconessi senza riuscire a vedere il risultato.

E’ però possibile risolvere questa problematica grazie alla flessibilità del sistema operativo RouterOS di MikroTik.

Volete sapere come? Vediamolo subito assieme.

(altro…)



Come aggregare due o più connessioni internet con un router MikroTik

Come aggregare due o più connessioni internet con un router MikroTik

WirelessGuru-Mikrotik-HowtoTra gli scenari di rete che si possono realizzare utilizzando i router MikroTik, uno dei più richiesti è senza dubbio l'aggregazione di due o più collegamenti internet, come ad esempio ADSL via rame o via wireless.

RouterOS ci fornisce ottimi strumenti per riuscire in questo intento. Vediamo quindi quali sono le strade percorribili per aggregare due o più connessioni internet.

Il primo metodo è sicuramente utilizzando il "semplice" ECMP (Equal Cost Multi-Path). La configurazione ECMP consiste infatti nel mettere più di un destinatario come default gateway ed il nostro router utilizzando la metodologia Round-Robin invierà i pacchetti ethernet ai vari gateway in maniera "democratica".
Se ad esempio avessimo due connessioni ADSL raggiungibili tramite due router configurati con gli ip 172.23.0.1 e 10.0.0.1 basterà impostare il default gateway in questo modo:

[code]

/ip route dst-address=0.0.0.0/0 gateway=172.23.0.1,10.0.0.1

[/code]

Quindi come si può notare basterà aggiungere più gateway separati da una virgola per far sì che il nostro router aggreghi i due flussi. In pratica i pacchetti di rete verranno inviati il 50% al primo gateway ed il 50% al secondo gateway alternandoli uno ad uno in Round-Robin.

 

Se volessimo dare un peso maggiore alla prima connessione rispetto alla seconda potremmo dichiarare più volte un gateway:

[code] /ip route dst-address=0.0.0.0/0 gateway=172.23.0.1,172.23.0.1,172.23.0.1,10.0.0.1 [/code]

In questo esempio manderemmo il 75% dei pacchetti al router 172.23.0.1 ed il 25% al router 10.0.0.1

Questo scenario era molto in "voga" qualche anno fa quando le connessioni Web/HTTP erano più semplici e con meno controlli. Al giorno d'oggi, purtroppo, questo approccio risulta impercorribile in quanto, le moderne tecnologie di pubblicazione Web, fanno largo uso di tecnologie client side (come AJAX) che non permettono richieste "in sessione" da ip diversi. Implementare quindi un aggregazione di questo tipo, anche solo per il protocollo HTTP, risulterebbe disastroso.

E quindi niente aggregazione?

MikroTik per fortuna ha molti assi nella manica. Per aggregare in maniera funzionale due o più connettività possiamo utilizzare il firewall ed il suo "matcher" PCC (Per Connection Classifier).
Questo potente "matcher" permette di identificare i pacchetti appartenenti ad una "connessione" e di marchiarli in maniera diversa in base ad uno "scheduler".

In questo modo possiamo realizzare non tanto un bilanciamento di pacchetti, come per l'ECMP visto prima, ma un bilanciamento di connessioni.

Il flusso di lavoro che spiegherò in un prossimo articolo sarà:

  1. Marcare tramite firewall mangle con il matcher PCC le connessioni
  2. Marcare i singoli pacchetti delle connessioni
  3. Assegnare un marcatore di routing diverso in base allo "scheduler"

 

Tra i vari scenari che ho affrontato in questi anni, uno ricorrente è quello di dover aggregare connessioni che hanno lo stesso gateway su subnet identiche. E' il tipico scenario WISP in cui vengono messe più CPE collegate allo stesso PPPoE server. In questi casi, ipotizzando di avere sul nostro router 3 link al pppoe-server/gateway e che questi assegni come ip endpoint 172.16.0.1:

[code]
[admin@RT-Gianni] > ip address print
Flags: X - disabled, I - invalid, D - dynamic
# ADDRESS NETWORK INTERFACE
0 D 172.16.100.2/32 172.16.0.1 pppoe-out1
1 D 172.16.100.3/32 172.16.0.1 pppoe-out2
2 D 172.16.100.4/32 172.16.0.1 pppoe-out3
[/code]

mettere una rotta di aggregazione (ECMP) del tipo:

[code]

/ip route dst-address=0.0.0.0/0 gateway=172.16.0.1,172.16.0.1,172.16.0.1

[/code]

non produrrebbe alcun effetto di aggregazione in quanto lo stesso gateway è presente su 3 indirizzi punto-punto distinti.

Quindi non è possibile eseguire questa tipologia di aggregazione?

Sì, è possibile. Basterà specificare il nome dell'interfaccia al posto dell'indirizzo ip:

[code] /ip route dst-address=0.0.0.0/0 gateway=pppoe-out1,pppoe-out2,pppoe-out3 [/code]

Questa tipologia di configurazione, sottolineo, è possibile effettuarla solo per le configurazioni di ip punto-punto come per l'autenticazione pppoe ed è ovviamente possibile utilizzarla sia per lo scenario ECMP, come nell'esempio, sia per lo scenario "avanzato" Firewall PCC che mi riservo di presentare meglio in un prossimo articolo.

Per concludere direi che ad oggi per aggregare due o più connessioni internet con MikroTik è possibile avvalersi dei potenti strumenti (firewall. policy routing) che RouterOS ci mette a disposizione.

Ovviamente non finisce qui, in quanto un buon aggregatore deve anche controllare se i link sono attivi o meno e riscrivere dinamicamente le tabelle di routing in base allo stato delle connessioni. Anche questo è ovviamente possibile realizzarlo attraverso alcuni potenti strumenti che RouterOS ci offre. In un prossimo articolo presenterò sicuramente il Tool Netwatch.

 

Mikrotik RouterOS, nuova politica di rilascio software

Mikrotik RouterOS, nuova politica di rilascio software

WirelessGuru-Mikrotik-HowtoMikroTik dalla versione di RouterOS 6.31 ha attivato una nuova politica/strategia per il rilascio del software. MikroTik ha infatti aggiunto un nuovo “branch” in aggiunta ai due precedenti.

Prima della versione di RouterOS 6.31 era possibile aggiornare la macchina alla nuova versione “stabile” o testare la nuova Release Candidate (plausibilmente instabile). Con la versione 6.31 MikroTik ha introdotto una nuova linea di aggiornamenti, a mio avviso molto saggia. Vediamo quindi in dettaglio cosa è stato modificato/aggiunto e quali sono ad oggi le politche di rilascio di RouterOS. (altro…)



MikroTik segnalata vulnerabilità di cambio malevolo alla password di admin tramite attacco CSRF

MikroTik segnalata vulnerabilità di cambio malevolo alla password di admin tramite attacco CSRF

WirelessGuru-Mikrotik-HowtoIn questi giorni è stata segnalata una vulnerabilità degli apparati MikroTik. In specifico si tratta di un attacco di tipo CSRF che permette di modificare, ad insaputa dell’amministratore di sistema, la password di admin degli apparati MikroTik.

Ma come funziona esattamente questa tipologia di attacco? Che cosa è un attacco CSRF? Vediamo di seguito come poter simulare questo attacco e come difendersi. (altro…)



RouterOS rilascio nuova versione 6.30

RouterOS rilascio nuova versione 6.30

WirelessGuru-Mikrotik-HowtoMikroTik ha da poco rilasciato la nuova versione di RouterOS. Per l'esattezza siamo arrivati alla release  6.30 di questo magnifico sistema operativo utilizzabile su router (con avanzate funzionalità quali OSPF, MPLS e BGP) ed apparati wireless sia a 5GHz, ad uso Punto-Punto o Punto-Multipunto, sia a 2.4GHz per essere utilizzati come Hotspot WiFi. Consiglio a tutti i WISP e System Integrator che hanno una rete MikroTik di allineare i firmware dei proprio apparati con quest'ultima versione al fine di risolvere alcuni bug rimasti aperti.

In attesa dell'imminente rilascio di RouterOS 7 ecco qui le modifiche implementate in questa versione:

*) wireless - added WMM power save support for mobile devices;
*) firewall - sip helper improved, large packets no longer dropped;
*) fixed encryption 'out of order' problem on SMP systems;
*) email - fix sending multiple consecutive emails;
*) fixed router lockup on leap seconds with installed ntp package;
*) ccr - made hardware watchdog work again (was broken since v6.26);
*) console - allow users with 'policy' policy to change script owner;
*) icmp - use receive interface address when responding with icmp errors;
*) ipsec - fail ph2 negitioation when initiator proposed key length
   does not match proposal configuration;
*) timezone - updated timezone information to 2015e release;
*) ssh - added option '/ip ssh stong-crypto'
*) wireless - improve ac radio coexistence with other wireless clients, optimized 
    transmit times to not interfere with other devices;
*) console - values of $".id", $".nextid" and $".dead" are avaliable for
    use in 'print where' expressions;
*) console - ':execute' command now accepts script source in "{}" braces,
    like '/system scripts add source=' does;
*) console - ':execute' command now returns internal number of running job,
    that can be used to check and stop execution. For example:
      :local j [:execute {/interface print follow where [:log info "$name"]}]
      :delay 10s
      :do { /system script job remove $j } on-error={}
*) console - firewall 'print' commands now show all entries including
    dynamic, 'all' argument now has no effect;
*) ipsec - increase replay window to 128;
*) fixed file transfer on devices with large RAM memory;
*) pptp - fixed "encryption got out of sync" problem;
*) ppp - disable vj tcp header compression;
*) api - reduce api tcp connection keepalive delay to 30 seconds,
   will timeout idle connections in about 5 minutes;
*) pptp & l2tp & sstp client: support the case were server issues its tunnel
   ip address the same as its public one;
*) removed wireless package from routeros bundle package,
   new wireless-fp is left in place and wireless-cm2 added as option;
*) pptp & l2tp client: when adding default route, add special exception route for
   a tunnel itself (no need to add it manually anymore);
*) improved connection list: added connection packet/byte counters,
   added separate counters for fasttrack, added current rate display,
   added flag wheather connection is fasttracked/srcnated/dstnated,
   removed 2048 connection entry limit;
*) tunnels - eoip, eoipv6, gre,gre6, ipip, ipipv6, 6to4 tunnels
   have new property - ipsec-secret - for easy setup of ipsec
   encryption and authentication;
*) firewall - added ipsec-policy matcher to check wheather packet
   was/will be ipsec processed or not;
*) possibility to disable route cache - improves DDOS attack
   handling performance up to 2x (note that ipv4 fastpath depends on route cache);
*) fasttrack - added dummy firewall rule in filter and mangle tables
   to show packets/bytes that get processed in fasttrack and bypass firewall;
*) fastpath - vlan interfaces support fastpath;
*) fastpath - partial support for bonding interfaces (rx only);
*) fastpath - vrrp interfaces support fastpath;
*) fixed memory leak on CCR devices (introduced in 6.28);
*) lte - improved modem identification to better support multiple identical modems;
*) snmp - fix system scripts table;
Come non farvi tracciare, tramite traceroute, i router Mikrotik della vostra rete dai clienti

Come non farvi tracciare, tramite traceroute, i router Mikrotik della vostra rete dai clienti

WirelessGuru-Mikrotik-HowtoSe siete dei WISP o degli ISP ed utilizzate apparati MikroTik o SICE Hiperlink per la vostra rete Layer 3, sia con rotte statiche, sia con protocolli dinamici quali OSPF, RIP o BGP, vi sarà capitato, spesso e a malincuore, di vedere "esposti" ad un banale comando traceroute tutti vostri nodi di rete. A livello di sicurezza far conoscere ai vostri clienti il network layout non è proprio il massimo, in quanto una volta identificati gli ip dei nodi di rete, è sempre possibile tentare di eseguire "attacchi" ai vari router. Per "attacchi" intendo sia azioni per guadagnare il controllo del router (attacchi di brute force sugli account ad esempio), sia azioni di DoS (Denial Of Service) per tentare di rallentare o compromettere un nodo.

Ad esempio, se facciamo un traceroute da un router MikroTik, potremmo avere un risultato di questo tipo:

[code gutter="false" highlight="3,4"][admin@WirelessGuru] > tool traceroute 8.8.8.8
# ADDRESS LOSS SENT LAST AVG BEST WORST
1 13.25.11.65 0% 11 12.7ms 14.2 4.3 31.3
2 13.25.11.1 0% 11 4.5ms 7.5 3.5 13.4
3 94.32.134.137 0% 11 7.4ms 9.8 4.6 20.6
4 213.205.31.150 0% 11 12ms 15.7 10.2 29.5
5 94.32.128.105 0% 11 13.6ms 15.9 10.5 30.3
6 94.32.135.161 0% 11 17ms 41.4 13.7 257.5
7 94.32.134.146 0% 11 22.5ms 19.5 12.3 29.5
8 66.249.95.73 0% 11 35.6ms 18.9 11.6 35.6
9 8.8.8.8 0% 11 11.8ms 13 10.8 20
[/code]

I due router MikroTik evidenziati (13.25.11.65 e 13.25.11.1) fanno parte della nostra rete Layer 3 che instrada il traffico dei client verso internet.

Se volessimo far sparire quei router dal risultato del traceroute basterà aggiungere su ognuno di loro questa semplice regola di Firewall Mangle:

[code]/ip firewall mangle \
add action=change-ttl \
chain=prerouting \
disabled=no \
new-ttl=increment:1
[/code]

Una volta inserita la regola di Firewall Mangle di RouterOS, il risultato del nostro traceroute "magicamente" diventerà:

[code gutter="false"][admin@WirelessGuru] > tool traceroute 8.8.8.8
# ADDRESS LOSS SENT LAST AVG BEST WORST
1 94.32.134.137 0% 11 7.4ms 9.8 4.6 20.6
2 213.205.31.150 0% 11 12ms 15.7 10.2 29.5
3 94.32.128.105 0% 11 13.6ms 15.9 10.5 30.3
4 94.32.135.161 0% 11 17ms 41.4 13.7 257.5
5 94.32.134.146 0% 11 22.5ms 19.5 12.3 29.5
6 66.249.95.73 0% 11 35.6ms 18.9 11.6 35.6
7 8.8.8.8 0% 11 11.8ms 13 10.8 20
[/code]

In conclusione abbiamo visto, come con un semplice comando RouterOS di Firewall Mangle, si riesca a proteggere e mantenere anonimo il network layer della nostra backbone realizzata con apparati MikroTik.
Ricordate che la sicurezza nelle reti non è mai troppa ed avere una rete WISP o ISP significa combattere quotidianamente con minacce che arrivano da internet, ma anche, purtroppo, dalla nostra stessa rete.

Corso di formazione Mikrotik MTCNA: programma, panoramica e considerazioni.

Corso di formazione Mikrotik MTCNA: programma, panoramica e considerazioni.

WirelessGuru-Mikrotik-HowtoMolte persone mi stanno chiedendo quali sono i programmi dei corsi Mikrotik, quindi ho deciso di scrivere un articolo per ogni corso in modo da cercare di chiarire ogni dubbio 🙂

Iniziamo con il corso che sta alla base di tutti gli altri denomitato MTCNA.

MTCNA è l'acronimo di MikroTik Certified Network Associate.

Questo corso è stato creato con l'intento di fornire tutti gli strumenti per lavorare professionalmente con i prodotti Mikrotik (e tutti quelli RouterOS based). Infatti questo, tra tutti è l'unico corso che affronta praticamente tutti gli argomenti presenti negli altri corsi. Si parla infatti sia di argomenti "base", quali l'uso di Winbox, indirizzamenti ip, accesso alla macchina, configurazione moduli radio, sia di argomenti avanzati quali Routing, Firewall, QoS, Tunnel.

Questo corso dovrebbe, a mio avviso essere obbligatoriamente seguito, prima di intraprendere qualsiasi attività lavorativa con gli apparati Mikrotik o RouterOS based, in quanto l'80% delle situazioni normali di configurazione di apparati Mikrotik viene affrontato in questo corso di formazione.

Se siete interessati a certificare Voi o la Vostra azienda attraverso il corso Mikrotik MTCNA compilate l'apposito modulo in fondo a questo articolo.

Mikrotik, per garantire trasparenza e ufficialità dei corsi, sul proprio sito web mette a disposizione un modulo di ricerca che permette di verificare se un tecnico è veramente certficato o meno. Potete controllare, ad esempio, le mie certificazioni inserendo Gianni Olivieri nel modulo presente su questo URL: http://www.mikrotik.com/certificateSearch

Gli altri corsi del percorso di certificazione Mikrotik sono utilissimi per approfondire meglio le tematiche realtive al mondo wireless e networking, ma ritengo che anche solo certificandosi al corso MTCNA si acquisiscono tranquillamente tutti gli strumenti fondamentali necessari per il lavoro quotidiano.

Il corso MTCNA, come tutti gli altri corsi del percorso formativo Mikrotik, è molto ben organizzato, alternando la teoria a prove pratiche di laboratorio. Ogni partecipante ha infatti a disposizione un apparato Mikrotik su cui testare e provare le varie configurazioni. Vengono create esercitazioni in cui i partecipanti interagiranno tra loro per testare le configurazioni. Si procede con il programma solo quando un laboratorio è stato superato con successo da tutti i partecipanti.

Alla fine del corso c'è l'esame online, eseguito direttamente sui server Mikrotik, per testare l'effettiva conoscenza del partecipante. Sono 25 domande scelte casualmente da un database. Le domande sono di varie tipologie: vero o falso, multiple con risposta singola, o multiple con risposta multipla.
Per superare con successo l'esame bisogna rispondere in maniera corretta almeno al 60% dei quesiti.

Ecco qui un'Infografica relativa ai Corsi Mikrotik, come vedete l'MTCNA è fondamentale per poter accedere a tutti gli altri e l'MTCRE è un prerequisito per poter accedere all'MTCINE:

Mikrotik-Corsi-Infografica-wirelessguru

Infografica delle certificazioni Mikrotik

 

Di seguito il dettaglio del programma dei vari moduli del corso MTCNA.

Modulo 1: Introduzione

  • L'azienda Mikrotik
    • Cos'è RouterOS
    • Cosa sono le RouterBoard
  • Primo accesso al router
    • Winbox e MAC-Winbox
    • Webfig e Quickset
  • RouterOS command line interface (CLI)
    • Null Modem cable
    • SSH e Telnet
    • New terminal in Winbox/Webfig
  • RouterOS CLI principles
    • Uso del tab e del ?
    • Command history e suoi benefici
  • Configurazione iniziale (Accesso ad internet)
    • WAN DHCP-client
    • LAN IP address e default gateway
    • Firewall di base
    • NAT masquerade
  • Aggiornare RouterOS
    • Tipi di pacchetto
    • Modalità di aggiornamento
    • RouterBOOT firmware upgrade
  • Login ed utenti in RouterOS
  • Servizi di sistema in RouterOS
  • Configurazione e gestione dei backup
    • Salvare e caricare backup
    • Modificare una configurazione esportata
  • Tipologia di licenze di RouterOS
    • Livelli
    • Aggiornare una licenza
  • Netinstall
    • Reinstallare RouterOS
    • Reset di  RouterOS
  • Trovare ulteriori informazioni in rete
  • Esercitazione pratica sul modulo 1

Modulo 2: Routing

  • Panoramica sul routing
    • Concetti di routing
    • Route flags
  • Routing statico
    • Creazione di rotte
    • Impostare la default route
    • Gestire le rotte dinamiche
    • Implementazione delle rotte statiche in semplici scenari
  • Esercitazione pratica sul modulo 2

Modulo 3: Bridging

  • Panoramica bridging
    • Concetto di bridge
    • Creazione del bridge
    • Aggiungere porte al bridges
  • Esercitazione prativa sul modulo 3

Modulo 4: Wireless

  • Concetti 802.11n
    • Frequenza (banda, canali, canalizzazioni avanzate) datarates /HT chains (Potenza in uscita, sensibilià in ricezione, regolamentazione basate sulla nazione)
    • Protocollo 802.11a/b/g
  • Configurare un semplice link wireless
    • Configurazione dell'Access Point
    • Configurazione della Station
  • Filtraggio per MAC-address
    • Default-authentication
    • Access-list
    • Connect-list
    • Default-forwarding
  • Protocolli di sicurezza wireless e criptazione link
    • WPA-PSK
    • WPA2-PSK
  • Protocolli wireless proprietari MikroTik
    • NV2 (TDMA)
  • Strumenti di monitoraggio
    • Wireless scan
    • Snooper
    • Tabella di registrazione
  • Wireless link in trasparenza totale
    • Station-bridge
  • Esercitazione sul modulo 4

Modulo 5: Gestione della rete

  • ARP
    • Tipologie di ARP
    • Tabella ARP in RouterOS
  • DHCP server e client
    • DHCP client
    • Settaggio server DHCP
    • Gestione dei leases
    • Configurazione dei parametri di network del DHCP server
  • Strumenti a bordo di RouterOS
    • E-mail
    • Netwatch
    • Ping, Traceroute
    • Sistema (CPU load, Uptime etc)
  • Contattare il  supporto di Mikrotik
    • supout.rif, autosupout.rif e visualizzatore
    • /system logging e log di debug
    • configurazione leggibile
    • diagramma di rete
  • Esercitazione sul module 5

Modulo 6: Firewall

  • Principi del firewall
    • Connection tracking e stati
    • Struttura, catene (chains) ed azioni (actions)
  • Catena di firewall filter in azione
    • Azioni di filtraggio
    • Preteggere il router da attacchi in ingresso (input chain)
    • Proteggere i clienti (forward chain)
  • Address-List di base
  • Source NAT
    • Masquerade e src-nat
  • Destination NAT
    • dst-nat e redirect
  • Esercitazione sul modulo 6

Modulo 7: QoS

  • Simple Queue
    • Target
    • Destinations
    • Max-limit e limit-at
    • Bursting
  • Una simple queue per l'intera rete (PCQ)
    • configurazione pcq-rate
    • configurazione pcq-limit
  • Monitoraggio
    • Monitoraggio traffico sulle interfacce
    • Torch
    • Grafici
    • SNMP
  • Esercitazione sul modulo 7

Modulo 8: Tunnels

  • Settaggi PPP
    • Profili ppp
    • Password ppp (secret)
    • Stato tunnel ppp
  • IP pool
    • Creazione di poo
    • Gestione dei ranges
    • Assegnazione dei servizo
  • Creare una local network sicura
    • PPPoE service-name
    • Creazione di un server PPPoE
    • Indirizzamente point-to-point
    • Creazione di un PPPoE clients su RouterOS
  • Mettere in sicurezza le comunicazioni remote (VPN)
    • PPTP client e PPTP server
    • SSTP client e SSTP server senza certificato
    • Impostare rotte tra networks
  • Esercitazione sul modulo 8

 

Se siete interessati al percorso di certificazione Mikrotik compilate il form sottostante. Possiamo organizzare Corsi di Certificazione Ufficiali Mikrotik altamente specializzanti e personalizzati per venire incontro alle Vostre necessità aziendali.

Nome

Cognome

Azienda

Email (richiesto)

Sono interessato ad informazioni e costi relativamente ai seguenti corsi Mikrotik (ogni corso ha durata di 2 o 3 giorni):

Numero di persone: (minimo 2)

Periodo di disponibilità indicativo (selezionare un giorno indicativo di disponibilità, verrà poi concordata via email la data esatta del corso.

Messaggio facoltativo:

Newsletter Signup! [mailpoetsignup* mailpoetsignup-210 mailpoet_list_3 default:on]

RouterOS 6.29.1 piccolo bugfix release, forse preludio della nuova versione 7?

RouterOS 6.29.1 piccolo bugfix release, forse preludio della nuova versione 7?

WirelessGuru-Mikrotik-HowtoStoricamente le versioni di RouterOS non sono mai stati troppo “longeve” ed ultimamente non hanno mai superato come “minor release” la versione 30. Infatti il branch 3.x si è fermato alla 3.30, il branch 4.x si è fermato alla 4.17 ed il branch 5.x si è fermato alla versione 5.26.
Con l’attuale 6.x siamo arrivati alla 6.29 ed a pochi giorni da tale rilascio, annunciato nel precedente articolo RouterOS rilascio nuova versione 6.29, gli sviluppatori di Mikrotik hanno messo a disposizione nella loro area download, una nuova mini versione a correzione di 2 bug.

Questa urgenza di fixare la versione può anche essere letta come la chiusura di questo branch che ha introdotto innovazioni quali il supporto al protocollo 802.11ac ed il CAPsMAN, il controller di Access Point marchiato Mikrotik? Se così fosse direi che stiamo per assistere all’introduzione della nuova versione di RouterOS 7. Chissà quali nuove funzionalità ci verranno messe a disposizione. (altro…)



HashFlare
HashFlare
HashFlare
HashFlare
HashFlare
HashFlare
HashFlare
HashFlare
HashFlare
HashFlare
HashFlare