Skori Weblapja - Mikrotik2

Mikrotik2

Jelen oldal a korábbi, Mikrotik routrekről szóló írásom folytatása. Tehát akit a téma érdekel, és esetleg még nem olvasta, annak érdemes lehet az előzővel kezdeni, és utána áttérni erre az oldalra. A Mikrotik routerekre, az előző erről szóló írásom óta, újabb RouterOs verziók jeletek meg, és bár vannak kisebb-nagyobb változások, ezek nagyrészt előnyére szolgáltak ezeknek az eszközöknek.

Több újdonság is szóba jöhetne amiről most írni lehetne, fontolgattam pl., hogy a Wireguard VPN Mikrotik féle megvalósításáról (is) írhatnék, de erről már vannak jó leírások, és igazából egy másik, egy ideje már megvalósított, és jól működő ötlet miatt kezdtem el írni. Persze erre az oldalra több dolog is felkerülhet még a későbbiekben (akár egy kis Wireguardról szóló írás is).

Amiról most szó lesz, az egy tűzfal megoldás, vagy inkább kiegészítés, ami (reményeim szerint) növelheti egy Mikrotik routerre bízott kis hálózat biztonságát.

Abban az esetben ha bizonyos szolgáltatásokat, otthoni eszközöket stb... szeretnénk az interneten keresztül is elérni, arra az egyik lehetséges megoldás, hogy az elérni kívánt eszközök által megnyitott portot, a routerünk megnyitja az internet felé, és az erre érkező csomagokat oda-vissza továbbítja. Természetesen ez rejt magában valamilyen szintű kockázatot is, hiszen az így megnyitott port egyúttal támadási felületet is ad, olyanoknak akik ezt rossz szándékkel próbálják felhasználni. Ezért manapság inkább azt szokták ajánlani, hogy valamilyen VPN megoldást használjunk, pl. Wireguard-ot, Openvpn-t, L2TP(+IPSEC) VPN-t, és ezen keresztül érjük el az otthoni dolgainkat. Ez teljesen jó megoldás, de nem mindig, és nem minden esetben. Van amikor nem kerülhető el egy-egy port megnyitása. Ha pl. webszervert működtetünk (pl. egy saját kis weboldalt) akkor a hozzá szükséges 80-as (http) és 443-as (https) portok kinyitását nem lehet elkerülni a működéshez. Az is előfordulhat, hogy olyan helyről szeretnénk elérni az otthoni hálózatot, ahol valamiért nincs lehetőségünk VPN-t használni, de mégis szeretnénk valamilyen biztonságos megoldást. Ezen kívül (saját példa) néha használok, PPTP VPN-t, ami elavultnak, és sebezhetőnek számít, és ma már nem igazán ajánlott, de az ehhez használt belépési pontot is védhetjük pluszban, az oldalon leírt módszerrel.

Ezt a megoldást akkor tudjuk majd használni, ha üzemeltetünk egy saját webszervert, vagy egy NAS-t, amire telepíthető webszerver, (sőt esetleg van is rajta, csak használatba kell venni). A Xpenology-ról készült írásom végén is megemlítettem, hogy a NAS, és a Mikrotik router együttműködésével egy ügyes tűzfal megoldást alakíthatunk ki.
Hogyan működhet ez?

Képzeljük el pl. ,hogy a winbox által használt 8291-es portot szeretném elérni az interneten keresztül. Ez bizony "veszélyes játék"! Sokan voltak, akik ezt meg is tapasztalták, amikor egy régi RouterOs verzióban levő hiba miatt, routerek tömkelegét hackelték meg, és egy részüket használhatatlanná is tették rosszindulatú hackerek. Persze ez csak úgy sikerülhetett, hogy a rendszerben levő hibán kívül, ezek az eszközök elérhetők voltak az interneten, azaz nyitva volt a 8291-es TCP port az internet felé is. Ha a most leírt, voltaképpen egyszerű megoldást használták volna, akkor ezen eszközök igen nagy része megmenekült volna attól, hogy feltörjék. De nem húzom tovább, először jöjjön a lényeg röviden, majd a részletek, és a hogyanok...

A 8291-es portot úgy kell megnyitni, hogy a számunkra nyitva legyen, mások számára viszont nem... A tűzfalat alaphelyzetben úgy állítjuk be, hogy minden port zárva legyen, de létre hozunk a routerben egy IP listát, azon IP címek számára amelyek kivételezettek, és ezek számára nyitjuk csak meg a portot. Ok, de nem tudhatjuk előre, hogy milyen IP címről akarjuk majd mi elérni, és milyen IP címről akarják majd támadni a routerünket. Hogyan oldjuk meg, hogy a mi aktuális IP címünk legyen rajta ezen a listán? Ha ezt meg tudjuk oldani, akkor készen is vagyunk.
Itt jön a képbe az otthoni NAS. Készítünk egy kis weboldalt rá, amely látja az IP címünket (de ezt akár módosíthatjuk is), és mondjuk itt, egy jelszó (vagy név + jelszó páros) beírása esetén felkerülhet az IP címünk az említett "fehérlistára". Hogy működhet ez? A weboldalon olyan PHP kódot kell használnunk, ami mindössze csak annyit csinál, hogy ellenőrzi a megadott jelszót, majd az adott IP címre, egy kitüntetett porton (ez legyen mondjuk: 49511) küld egy UDP csomagot. (a NAS-on a PHP beállításokban engedélyezni kell az UDP csomagok küldését). A küldött adatcsomag tartalma közömbös, lehet mondjuk egy "HELLO" üzenet. Mivel ez a csomag az internet felé indul el, ezért a NAS a gateway felé fogja küldeni, ami jelen esetben a Mikrotik routerünk. A routerben két tűzfal szabály fogja kezelni ezt a kis csomagot.
- Amennyiben a forráscím a NAS belső IP címe, a cél port a megadott (pl. 49511), akkor a cél címét (tehát aki a jelszót helyesen megadta) beteszi egy IP cím listába (fehérlistába, vagy engedélyező listába, lényegében mindegy hogy hívjuk). Nyilván nem örökre kerül fel a listára ez az IP cím, hanem csak egy adott időtartamra, ami pl. 1 óra.
- Ugyanezt a csomagot utána eldobja a router, hiszen nem az volt a célja, hogy üzenjünk, vagy hogy bármi módon jelezzük, hogy a jelszó helyes volt, hanem csak annyi, hogy a routerünk tudomást szerezhessen arról az IP címről, amit fel kell vennie az engedéllyel rendelkezők listájába.

Egy (vagy több) további tűzfalszabály ezután lehetővé teszi, hogy a listában szereplő IP címekről elérhessük a kívánt portokat, ill. szolgáltatásokat, pl. akár az említett, winbox által használt 8291-es TCP portot is. Aki olyan IP címről próbálja elérni az adott portot, amely nem szerepel az IP listán, az csak azt fogja látni, hogy az adott szolgáltatás nem létezik, ill. nem elérhető. Tehát annyi a dolgunk, hogy először megnyitjuk a weboldalt, és beírjuk a jelszót. Ezután a szokásos módon el tudjuk érni a számunka megnyitott portokat.

Ez így leírva egyszerűnek tűnik, de azért kell hozzá néhány dolog (a Mikrotik routeren kívül), hogy ez tényleg jól működjön. Nézzük sorjában:
- Szükségünk lesz hozzá egy kicsi webszerverre. Ez lehet pl. az otthoni NAS, vagy mondjuk egy RaspberryPi, de Arduino felhasználók, akár egy ESP8266-al, vagy ESP32-vel is meg tudják oldani.
- Elérhetővé kell tennünk a webszervert az internet irányából. Azaz portot kell nyitni számra a routeren (TCP: 80 és esetleg 443 is).
- Célszerű valamilyen domain nevet használni, a könnyű elérhetőséghez. Ez lehet egy ingyenes dinamikus DNS szolgáltatás, amire beregisztrálunk az interneten, (dynDND, duckDNS, freeDNS, stb...) és/vagy használhatjuk a Mikrotik router IP cloud szolgáltatását is.
- Ahhoz, hogy a webszerverünk (routerünk, vagy bármely szolgálatás) közvetlenül elérhető legyen az interneten, úgynevezett publikus IP címünknek kell lennie. Ez internet szolgáltatás függő, némelyik szolgáltató csak NAT-olt, belső IP címet ad a felhasználóinak, míg mások rendes, publikus IP-t osztanak ki.
- A webszerverre kell egy PHP szkript (vagy ESP-k esetén megfelelő szoftver) ami a korábban említett feladatot elvégzi. A webszervert megfelelően be kell állítani, a php-t, és az UDP küldést engedélyezni kell.
- A Mikrotik routerben létre kell hozni a megfelelő tűzfal szabályokat. Mindenképpen meg kell említeni, hogy ezzel bár fokozhatjuk a hálózatunk védettségét, de tudjuk azt is, hogy semmi sem nyújt 100%-os védelmet. Bizonyára ez is kijátszható, ha valaki kellő energiát fordít a gyenge pontok megkeresésére, és kihasználására, ezért a leírtakat ennek tudatában kezeljük.

Esetemben az otthoni NAS adott volt. Erre telepítettem a Web Stationt (webszerver) és a PHP-t.

Socketek engedélyezése az UDP csomagok küldéséhez:

A szükséges php kód valami ilyesmi lehetne. Persze ez csak egy minimal verzió, át kellene írni benne az üdvözlő szöveget, a fejlécet, a jelszót, portot, stb..., a saját igényeink szerint, lehetne ügyesebbé tenni, szépíteni stb... Esetleg az is megfontolandó, hogy ezt az oldalt is kicsit eldugjuk, pl. nem a standard, http/https portokon tesszük elérhetővé, illetve kicsit hosszabb nevet is kitalálhatunk, amit egy hacker (főleg ha nem magyar) akkor nehezen talál meg, lehetne pl.: aztafuzfanfutyulorezangyalat.php néven. Persze ennek csak akkor van értelme, ha ezt nem tesszük ki a főoldalon egy linkre, amire csak kattintani kellene.

<!DOCTYPE HTML>
<html>
<head><title>IP cím regisztrálás</title></head>
<body>
Üdvözöllek XXXX webszerverén!<br>
További szolgáltatások használatához (FTP, VPN) regisztrálni kell az IP címed.<br>
<?php
if(!isset($_POST['ipaddr'])) $_POST['ipaddr'] = $_SERVER["REMOTE_ADDR"];
if (!filter_var($_POST['ipaddr'], FILTER_VALIDATE_IP)) $_POST['ipaddr'] = $_SERVER["REMOTE_ADDR"];
if(!isset($_POST['pw'])) $_POST['pw'] = '';
?>

<form method="POST" name="whform" id="whform">
 IP: <input type="text" name="ipaddr" id="ipaddr" value="<?php echo $_POST['ipaddr']; ?>"> 
 PASS: <input type="password" name="pw" id="pw" value="<?php echo $_POST['pw']; ?>"> 
 <input type="submit" class="submit" name="addlist" value="IP regisztrálása"> 
</form><br>

<?php
if ((isset($_POST['addlist'])) &&  $_POST['pw'] == 'JELSZO'){
	if ($s = socket_create(AF_INET, SOCK_DGRAM, SOL_UDP)){
		$ip = gethostbyname($_POST['ipaddr']);// $_SERVER["REMOTE_ADDR"];
		$host = gethostbyaddr($ip); if ($host == $ip) $host='';
		$msg = "Helo";
		$port = 49511;
		if (socket_sendto($s, $msg, strlen($msg), 0, $ip, $port)) echo "$ip $host regisztrálva!";
		socket_close($s);
	};
};
exit();
?>
</body>
</html>

A fenti PHP oldal kb. így néz ki alaphelyzetben (Firefox-al):

Mivel az oldal jelszót is küld, ezért ha lehetséges, akkor https-el kapcsolódjunk hozzá.

Nézzük a Mikrotik routeren használandó beállításokat!
Portfordítás példa a webszerverhez:
Ezek a beállítások az internet felől, a 80-as, ill. a 443-as portra érkező csomagokat továbbítják a NAS belső IP címére.

/ip firewall nat
add action=dst-nat chain=dstnat comment="NAS HTTP"  in-interface=pppoe-digi dst-port=80  protocol=tcp to-addresses=192.168.5.220 to-ports=80
add action=dst-nat chain=dstnat comment="NAS HTTPS" in-interface=pppoe-digi dst-port=443 protocol=tcp to-addresses=192.168.5.220 to-ports=443

IP lista létrehozása a NAS által küldött UDP csomag alapján (példa):
Azoknak az UDP csomagoknak a cél IP címét adja a "winboxenablelist" nevű listához, 1 óra időtartamra, amelyek a NAS belső IP címéről érkeznek, és a 49511 portra vannak irányítva. A második szabály ugyanezen csomagokat eldobja, miután az IP bekerült a listába

/ip firewall filter
add action=add-dst-to-address-list address-list=winboxenablelist address-list-timeout=1h \
    chain=forward dst-port=49511 in-interface=LAN1-bridge protocol=udp src-address=192.168.5.220
add action=drop chain=forward dst-port=49511 in-interface=LAN1-bridge protocol=udp src-address=192.168.5.220

Engedély(ek) az IP listán szereplő IP címek számára (példa):
Ez a szabály, az említett "winboxenablelist" nevű listán szereplő IP című források-tól érkező, és a winbox (8291) portjára címzett csomagokat átengedi a tűzfalon.

/ip firewall raw
add action=accept chain=prerouting protocol=tcp dst-port=8291 src-address-list=winboxenablelist

A fenti módszerrel többféle IP listát is létrehozhatunk, amelyekkel a különböző szolgáltatásokhoz való hozzáférést szabályozhatjuk, ill. kiegészíthetjük a routerünk funkcióit. Pl. adhatunk ilyen módon egyedi engedélyeket vendéghálózatra csatlakozó eszköznek. Védhetünk fokozottabban bizonyos hozzáféréseket (pl. FTP-t, vagy egy régi PPTP VPN-t)az internet irányából, vagy mint a példában: szabályozhatjuk a winbox-al való elérést.

Felhívom a figyelmet, hogy a fentiekben leírt megoldásra semmiféle garanciát nem vállalok, sem a működésére, sem a biztonságosságára nézve!
A fentiek csupán egy ötletet, egy lehetőséget mutatnak be, amit ha valaki használni szeretne, akkor célszerű azt "testre szabni", azaz a pontos igényekhez kell igazítani.

Skori@2024majus

Máris ide kívánkozik egy kis folytatás. A prohardver fórum, mikrotikes témájában, lionhearted (nick) felvetett egy lehetséges gyenge pontot, ami bár nem használható ki könyen, de nem is leheteten. Ha a NAS-on futó egyéb alkalmazás (pl. torrent) valamelyik kliens felé véletlenül (vagy szándékosan) pont ugyanezen a porton (amit itt is haszáltunk) küld és fogad adatokat, azzal bizony felkerülhet a címe a listára. Azonban erre is van egyszerű és szerintem hatékony megoldás. Már módosítottam is a saját routeremben a szabályokat és teszteltem, hogy működik-e. Az eredetileg felvetett ötletben azt írtam, hogy az UDP csomag tartalma lényegében mindegy, lehet pl. egy "Helo" üzenet, mint ahogy fent szereplő, PHP programban is ez szerepel. De akkor inkább ne legyen mindegy, hogy mit tartalmaz az UDP csomag, hanem legyen egyedi, és a router ellenőrizze is a tartalmát.
Tehát a PHP programban írjuk át ezt az üzenetet, azaz cseréljük le ezt a sort:

$msg = "Helo";                  //ezt a sort cseréljük le
$msg = "45s6jbGghqcvF3k45hjbv2" //mondjuk erre a sorra

Remélem mindenki számára világos miért azt a "katyvaszt" írtam oda, és az is, hogy mindenki használjon egyedi "saját katyvasz"-t!
Ezután a mikrotikben egészítsük ki az UDP csomagunkat kezelő tűzfal szabályokat a content=45s6jbGghqcvF3k45hjbv2 résszel.
Tehát valahogy így:

/ip firewall filter
add action=add-dst-to-address-list address-list=winboxenablelist address-list-timeout=1h chain=forward\
    dst-port=49511 in-interface=LAN1-bridge protocol=udp src-address=192.168.5.220 content=45s6jbGghqcvF3k45hjbv2
add action=drop chain=forward dst-port=49511 in-interface=LAN1-bridge protocol=udp src-address=192.168.5.220 content=45s6jbGghqcvF3k45hjbv2

Aki nem szereti az ilyesfalyta katyvasz-ok használatát, az persze nyugodtan használhatja helyette pl. a "LujzaEngedjBe" vagy valamilyen hasonló üzenetet! :) :)

Az UDP csomag ellenőrzésekor a csomagméretet is érdemes megadni a tűzfal-szabályban.
Első körben csak megsaccoljuk, hogy mondjuk valahol 10 és 100 bájt közötti méretű lesz:

/ip firewall filter
add action=add-dst-to-address-list address-list=winboxenablelist address-list-timeout=1h  chain=forward\
    dst-port=49511 in-interface=LAN1-bridge protocol=udp src-address=192.168.5.220 content=45s6jbGghqcvF3k45hjbv2 packet-size=10-100
add action=drop chain=forward dst-port=49511 in-interface=LAN1-bridge protocol=udp src-address=192.168.5.220 content=45s6jbGghqcvF3k45hjbv2 packet-size=10-100

Esetemben a csomagméret 28 bájttal volt nagyobb mint a küldött üzenet, de ezt e legegyszerűbb úgy meghatározni, hogy amikor már működik a dolog, akkor a túzfalszabályban bekapcsoljuk LOG-ot. Ezután a log-ban megnézzük mekkora volt a tényleges csomagméret, majd utólag pontosíthatjuk ezzel is a tűzfal szabályunkat. Pl.:

/ip firewall filter
add action=add-dst-to-address-list address-list=winboxenablelist address-list-timeout=1h chain=forward\
    dst-port=49511 in-interface=LAN1-bridge protocol=udp src-address=192.168.5.220 content=45s6jbGghqcvF3k45hjbv2 packet-size=50
add action=drop chain=forward dst-port=49511 in-interface=LAN1-bridge protocol=udp src-address=192.168.5.220 content=45s6jbGghqcvF3k45hjbv2 packet-size=50

Skori@2024majus

u.i. itt folytatom legközelebb....

2024 junius - El is érkezett a folytatás ideje.
Amiről írni fogok, az előző írásomhoz hasonlóan, most is a Router, és a Synology / Xpenology NAS közötti kapcsolatot használom ki. Logolni, ill. magyarul naplózni jó dolog, a routerünk is ezt teszi, így ha szükségessé válik utólag vissza lehet keresni a különböző hálózati eseményeket és azok időpontját.

Ehhez célszerű ha az első, mikrotikről szóló cikkemben leírt módon, a routerünk órája egy időszerverhez van szinkronizálva, tehát valós dátumot és időt mutatja. A routerünk többféle képpen tud logolni, ügyesen beállítható, hogy milyen eseményeket naplózzon, pl. a felvett tűzfalszabályokba csak egy pipát kell betenni a LOG jelőlőnégyzetbe, és minden ezzel kapcsolatos eseményt naplózni fog a router, vagy pl. script-ből is lehet a naplóba írni, bizonyos eseményeket pedig automatikusan is naplóz a routerünk. Ok ez tök jó, de akkor miről is szól ez a cikk? Röviden arról, hogy hová tegyük ezt a naplót. A routerünk tároló képessége korlátozott, a különböző napló bejegyzéseket különböző helyekre teheti:

- Naplózás memóriába. A RAM mérete meglehetősen korlátozott, nem fér el sok bejegyzés, ezért a régi eseményeket el fogja dobni az eszköz. Tehát nem tudunk régebbi eseményekre vonatkozó bejegyzéseket visszakeresni. Ezen kívül pl. egy áramkimardás esetén a RAM tartalma is elvész, és ilyenkor az ide naplózott bejegyzések is megsemmisülnek.

- Naplózás diszkre. Ez lehet pl. a mikrotik flash háttértára. Itt több bejegyzés elfér, és áramkimardás esetén is megmaradnak rajta az adatok. Ezzel az a gond, hogy a flash élettartama véges, sok naplózott esemény hatására egy idő után elhasználódik a router háttértára, ami néhány eszköz esetén "gazdasági totálkár"-t jelent. Ezét wezt a lehetőséget nem ajánlanám senkinek sem. Némely routerre csatlakoztatható egyéb háttér tároló pl. SSD, SD kártya, vagy pendrájv. Ezek közül az SSD az ami kellően sok írást elvisel anélkül, hogy elhasználódna. Az SD kártya, és a pendrájv szintén hamar tönkremehet - bár ezeket legalább könnyen ki lehet cserélni.

- Naplózás távoli szerverre. Ez egy ügyes megoldás, a router csak elküldni a szervernek a naplóbejegyzéseket, a NAS pedig megoldja a tárolást, ahogy kényelmes, SSD-n, HDD-n, vagy ahogy akarja. A tároló kapacitás, a router adattároló késségéhez képest, szinte végtelen nagy, évekig probléma nélkül naplózhatunk folyamatosan. Ennek a módját mutatom be most....

Ahhoz hogy ez működjön két dolog kell:
- Be kell állítani a NAS-on,hogy tudja fogadni a routertől érkező napló bejegyzéseket.
- Be kell aállítani a routeren, hogy milyen napló bejegyzéseket, és hogyan/hová küldjön (a szerverre).

Nézzük a NAS-on mit kell tenni. Synology/Xpenology NAS használata esetén telepíteni kell a "napló központ" nevű alkalmazást. Az alkalmazást megnyitva, az alábbi beállítást kell elvégeznünk, ahhoz, hogy fogadni tudja a routerünkltől érkező adatokat:

Ezután a roureünknek kell megmondani, hogy mit tegyen a naplóbejegyzésekkel. Először beállítjuk, hogy az "info" bejegyzéseket, az alapértelmezett memórában tárolás mellett, ttávoli szerverre is szeretnénk továbbítani:

Érdemes a "prefix" mezőt is kitölteni, mert enélkül néha a nalóban "szét tudnak csúszni" a táblázat oszlopai, és a "Mikrotik" szöveg mellé még egy szóközt és egy pontot is tettem (nem tudom, hogy ez most is szükséges-e, vagy sem - de ki lehet próbálni). Ezután meg lehet adni, a távoli szerverre vonatkozó adatokat is:

Ha ezzel is megvagyunk, és mindent jól állítotunk be, akkor az alábbi formában meg is jelennek a NAS napló központjában, a routerünktől érkező napló bejegyzések. Íme:

Skori@2024junius

Ismét van egy kis időm, és van is mit írnom mikrotik témában. :)

Korábban kipróbáltam kíváncsiságból a RouterOS-t PC-re telepítve (a mikrotiktől letölthető verzió 24 óráig korlátozások nélkül használható). Az akkori tapasztalataim alapján szinte majdnem bármilyen (és esetleg ma már elavultnak számító) PC-ből erősebb router készíthető, mint a legtöbb mikrotik routerboard. Még a jelenleg NAS-ként használt, Celeron J1900 processzorra épülő miniPC-m is, routerként egy kicsivel erősebb volt, mint az itthoni Mikrotik RB5009 routerem. Pl. hasonló teszt körülmények között, a J1900, wireguard VPN-el 20...30%-al nagyobb sebességre volt képes! Pedig az RB5009 jelen pillanatban (a cikk írásakor) egész erős routernek számít. Tehát akár szakmai, de akár pézügyi szempontokból érdemes lehet megfontolni az x86 alapú router használatát (csak mellékesen a J1900 elektromos energiafogyasztása is alacsonyabb mint a routeremé).

Ok. de akkor miért nem ezt használom routernek inkább?
- Nos ehhez több dolgot kell figyelembe venni, pl. a teszthet használt miniPC-nek mindössze 2db ethernet csatlakozója van, míg az RB5009 8db ethernet csatlakozóval van felszerelve, amelyek közül az első 2,5G sebességet tud, és egy SFP+ csatlakozás is helyt kapott rajta (bár manapság ezért lehet kapni több ethernet csatlakozóvel feszeretlt PC alaplapokat is). A jelenlegi mini PC mellé pl. minimum kellene még egy switch is (bár ha mondjuk a WiFi AP-nak használt ezszköznek több portja van, akkor elláthatja ezt a funkciót.)
- A másik dolog a RouterOS szoftver "ára". Ez ugye további költség x86 esetén, még a routerboardok árában ez benne van. A Mikrotik Licence őszintén szólva nem túl szimpatikus. A sima PC-s licence esetében a háttértár-hoz kötött a kulcs, tehát ha a PC-ben használt adathordozó kinyiffan, akkor a licence cseréje körülményes, és pénzbe kerül. Hasonló a helyzet akkor is ha bármi okból megsemmisülnek a háttértáron levő adatok. Tehát licewnce hardverhez ill. telepítéshez rögzítése nem törölhető, nem vihető át másik adathordozóra, nem telepíthetjuk újra tetszés szerint. Azaz kísérletezni vele esetleg nem lesz olcsó - ha valamit benézünk. Mondhatják egyesek erre, hogy mit kell ezzel vacakolni - egyszer feltesszük és megy... Hát a fene tudja, nekem azért ez elvette egy időre a kedvemet attól, hogy licence-t vásároljak. Megjegyzés: amit a licencekről írtam, az messze nem teljes körű, mert sokféle szintű és tipusú licence vásárolható - de ebbe nem áll szándékomban jobban belemenni, mindenki utánanézhet a Mikrotik-nál.
- Jelenleg már elérhetők egész ügyes, sok db., 2.5G sebességű porttal ellátott kics PC alaplapok (pl. N100 procival), csak ezeknek az áram még nem elég szimpatikus... :) Mellesleg nem is értem, hogy a Mikrotik miért nem gyárt saját név alatt x86 alapú router-t, vagy alaplapot? Így az x86 alapú routerek esetében csak a szoftveren keresnek valamennyit, a hardveren viszont nem...

Jó de...., ha ez így van akkor miért írok most mégis erről?
Azért, mert a felmerülő aggályok közül az egyikre felmerült egy jónak tűnő megoldás, ami viszont erősen "szürkezónás" dolog, így mindenki csak a saját felelősségére foglalkozzon ezzel, avagy csak érdekességként olvassa az oldalt tovább. A Mikrotik operációs rendszere lényegében egy linux alapú rendszer, azonban a linux rendszerből a haszálat során nem sokat látunk. Azonban (egy valószínűleg kínai) feljesztőnek sikerült némi módosítással elérhetővé tennie a háttérben futó linux rendszert. Ezt kicsit a mobil telefonok root-olásához hasonlítanám, és innen már csak egy lépésre volt egy licenc kulcs generátor beépítése a rendszerbe. Eddig is lehetett találni az "internet sötétebb zugaiban" hekkelt RouterOS-t, de ezek többsége vagy nem működött rendesen, vagy különféle hátsó ajtókat, építettek bele. Ezeket természetesen nagyon nem tanácsos használni!!

Amiben a jelenlegi patch-elt verzió más, mint az eddigiek: az, hogy ez egy nyílt forráskódú fejlesztés, tehát a teljes fejlesztés forráskódja és a patch-elt verziók (jelen pillanatban 2025feb) elérhetők a GitHub-on ITT és ITT !
Persze elképzelhető hogy ez nem fog tetszeni a Mikrotik-nek, és egyszer csak nem lesz elérhető a fenti oldal... Persze ami egyszer felkerül a netre...(azt csak a nagy cégek tudják eltüntetni: G, M$), mindenesetre akinek kell onnan valami, pl. kísérleti célból, az addig szedje le amíg elérhető. Ismét felhívnám a figyelmet rá, hogy egy ilyen rendszer használata jár némi kockázattal, és élesben használni valószínűleg illegális (bár nem vagyok jogász, így csak tippelek, de pl. windows-t is milliónyian használnak megvásárolt kulcs nélkül... és a különféle windows aktivátoroktól is hemzseg az internet). Amúgy ha valaki képben van ezekkel a szoftver jogokkal, és a szoftver oldalát is megérti annak, amit a GitHub-on közzétett a fejlesztő, annak kíváncsian várom a véleményét (természetesen nemhivatalosan).

Akkor mostmár jöjjön a lényeg: a patch-elt rendszert kísérletképpen feltelepítettem egy virtuális gépre (VirtualBox-ra). Kíváncsi voltam, hogy rendesen működik-e, és próbálkozik-e valamilyen hátsó ajtóra jellemző dologgal. Egy másik routerrel közben figyeltem, hogy próbál-e, és ha igen akkor milyen kommunikációs folyamatokat indít a hálózatban. A tapasztalataim pozitívak voltak, jól működik és nem tapasztaltam illegális adatforgalmat sem (ettől függetlenül semmire sincs garancia!!!!). Ezen kívül, a sok közül, csak két, ISO fájlból telepíthető verziót teszteltem: EZT: 7.16.2 és EZT: 7.18

Nézzük milyen léápésekből áll a telelpítés.
Boot-olás az ISO fájlból:
Itt kiválasztjuk mely csomagokat szeretnénk feltenni. A kulcsgenerátort az option (nemhivatalos) csomag tartalmazza.
A telepítés másodpercek alatt megtörténik. Utána a telepítő médiát eltávolítjuk és újraindítjuk a PC-t.

Az indításkor már egy konzol felület fogad minket, akár itt is beléphetnénk (user:admin, password: nincs), de kényelmesebb winbox-al dolgozni.

Belépés után persze felhívja a figyelmet, hogy nincs érvényes licence kulcsunk.

Lépjünk be telnettel (vagy ssh-val) a routerre localhoston.
Felhasználóvév: devel Jelszó: ugyanaz, mint az admin felhasználó jelszava - ha ezt még nem állítottuk be akkor nincs jelszó.
Ha a későbbiekben tiltjuk az admin felhasználót, és/vagy a telnet/ssh hozzáférést, akkor a devel (fejlesztő) felhasználóval sem lehet belépni a konzol felületre.
Az admin letiltását, másik felhasználó létrehozását követően amúgy is célszerű letiltani még teljesen legális RouterOS esetében is!

Ha a rendszergazda (root) konzol felületen kiadjuk a keygen parancsot, akkor generál egy új szoftverkulcsot az aktuálisan telepített rendszerhez.
Ha ezt kimásoljuk, majd egy sima terminálba (kilépve a root terminálból) bemásoljuk, akkor egy ujraindítás után aktivizálódik alicence kulcs:

Remélem ismét sikerült egy kis érdekességgel szolgálnom a Mikrotik világából. Szívesen fogadok viszajelzéseket, (akár pozitív akár negatív) tapasztalatokat ezzel a témával kapcsolatban is.

Skori@2025feb
A tévedés, elgépelés, stb, jogát (is) fenntartom :)

folyt. köv...

Támogasd az oldalt!