Уязвимость mikrotik позволяет получать список всех пользователей через winbox

Описание сетевых интерфейсов

Конфигурация сетевых интерфейсов MikroTik будет выглядеть следующим образом: первый порт ether1 будет подключен к провайдеру (WAN порт), остальные порты ether2-5 будут работать в режиме коммутатора для подключения компьютеров локальной сети.

Чтобы не путать сетевые интерфейсы, опишем их с помощью комментариев.

Входим в настройки MikroTik с помощью программы Winbox.

Записываем для первого порта ether1 комментарий «WAN»:

1. Открываем меню Interfaces;
2. Выбираем первый интерфейс ether1;
3. Нажимаем желтую кнопку Comment;
4. В появившемся окне вводим комментарий «WAN»;
5. Нажимаем кнопку OK.

Описание WAN интерфейса MikroTik

Записываем для второго порта ether2 комментарий «LAN»:

Выбираем интерфейс ether2;
Нажимаем желтую кнопку Comment;
В появившемся окне вводим комментарий «LAN»;
Нажимаем кнопку OK.

Описание LAN интерфейса MikroTik

Теперь в списке интерфейсов четко видно их назначение.

Список интерфейсов MikroTik

История

Компания «MikroTik» была основана в Латвии в 1996 году с целью совершенствования маршрутизаторов и беспроводных систем ISP. Благодаря опыту в использовании стандартного для данной индустрии аппаратного обеспечения для ПК и доработок систем маршрутизации в 1997 году MikroTik создала собственное ПО — систему RouterOS, обеспечивающую расширенную стабильность, контроль и гибкость для всех типов интерфейсов передачи данных и маршрутизации. В 2002 году компания выпускает свое очередное детище — оборудование RouterBOARD. Сегодня аппаратное и программное обеспечение MikroTik используют большинство стран по всему миру для подключения к Интернету. Компания имеет минимум одного клиента практически в каждой стране. Офис Mikrotik находится в Риге и располагает на данный момент 140 сотрудниками.

Troubleshooting

Winbox cannot connect to the router’s IP address

Make sure that Windows firewall is set to allow Winbox connections or disable windows firewall.

I get an error ‘(port 20561) timed out’ when connecting to routers mac address

Windows (7/8) does not allow mac connection if file and print sharing is disabled.

I can’t find my device in WinBox IPv4 Neighbors list or MAC connection fails with «ERROR could not connect to XX-XX-XX-XX-XX-XX«

Most of the network drivers will not enable IP stack unless your host device has an IP configuration. Set IPv4 configuration on your host device.

!Sometimes the device can be discovered due to caching, but MAC connection will still fail with «ERROR: could not connect to XX:XX:XX:XX:XX:XX

Installation

How can I install RouterOS?

RouterOS can be installed with CD Install or Netinstall.

How large HDD can I use for the MikroTik RouterOS?

MikroTik RouterOS supports disks larger than 8GB (usually up to 120GB). But make sure the BIOS of the router’s motherboard is able to support these large disks.

Can I run MikroTik RouterOS from any hard drive in my system?

Yes

Is there support for multiple hard drives in MikroTik RouterOS?

A secondary drive is supported for web cache. This support has been added in 2.8, older versions don’t support multiple hard drives.

Why the CD installation stops at some point and does not go «all the way through»?

The CD installation is not working properly on some motherboards. Try to reboot the computer and start the installation again. If it does not help, try using different hardware.

Локальный ip адрес виден в публичной сети

Ошибка возникает, когда у вас используется несколько каналов в интернет и автоматическое переключение между ними на основе смены дефолтного маршрута. Ip адреса постоянные, но при этом используется Masquerade.

После переключения внешнего канала, информация о серых адресах утекает во внешнюю сеть. Проблема тут как раз в использовании маскарада там, где это не нужно.

Причина ошибки в том, что при переключении каналов все соединения сбрасываются. После этого сброшенные подключения приходят на firewall с состоянием new и отправляются во вне по другому маршруту. Когда основной линк поднимается и восстанавливается исходный маршрут, все установленные соединения по альтернативному маршруту уходят во вне мимо NAT, без преобразования серых адресов.

Решение проблемы простое — использовать srcnat, вместо masquerade, как это было показано в предыдущих примерах. Так же добавить в firewall правила на drop пакетов в состоянии invalid. Обычно это и так делается. На внешних интерфейсах настроить drop пакетов с состоянием new идущих не из цепочки dstnat. Это в целом я тоже чаще всего делаю.

Так же в презентации предлагается сделать маршрут заглушку blackhole для каждого routing-mark. Я не понял, что это такое.

Detect Cable Problems

Cable test can detect problems or measure the approximate cable length if the cable is unplugged on the other end and there is therefore, «no-link».
RouterOS will show:

• which cable pair is damaged
• the distance to the problem
• how exactly the cable is broken — short-circuited or open-circuited

This also works if the other end is simply unplugged — in that case, the total cable length will be shown.

Here is example output:

 > interface ethernet cable-test ether2
         name: ether2
       status: no-link
  cable-pairs: open:4,open:4,open:4,open:4

In the above example, the cable is not shorted but “open” at 4 meters distance, all cable pairs equally faulty at the same distance from the switch chip.

Currently is implemented on the following devices:

• CCR series devices
• CRS1xx series devices
• CRS2xx series devices
• OmniTIK series devices
• RB450G series devices
• RB951 series devices
• RB2011 series devices
• RB4011 series devices
• RB750Gr2
• RB750UPr2
• RB751U-2HnD
• RB850Gx2
• RB931-2nD
• RB941-2nD
• RB952Ui-5ac2nD
• RB962UiGS-5HacT2HnT
• RB1100AHx2
• RB1100x4
• RBD52G-5HacD2HnD
• RBcAPGi-5acD2nD
• RBmAP2n
• RBmAP2nD
• RBwsAP-5Hac2nD
• RB3011UiAS-RM
• RBMetal 2SHPn
• RBDynaDishG-5HacD
• RBLDFG-5acD
• RBLHGG-5acD

Note: Currently is not supported on Combo ports.