Не так давно мне удалось попасть на официальный курс MTCSWE (MikroTik Certified Switching Engineer) к Дмитрию Скоромнову. На сколько понимаю первый или один из первых в этой стране. Курс был интересен мне тем, что там ожидалось раскрытие темы VLAN целиком и полностью, плюс работа с коммутаторами от «рижских парней», которых из новых у меня в хозяйстве пока нет.

Обучение проходило в районе Красных Ворот, недалеко от Басманного суда, в центре PM Expert. К помещению никаких претензий нет. Все сравнительно удобно — как столы, так и внутренность. Перекур тоже можно провести недалеко. Столы бы только побольше, чтобы можно было капитально разложиться, но здесь, как говорится, чем богаты.

Работали на реальном «железе», никаких виртуалок. Стенд давал возможность на деле оценить поведение оборудования в тех или иных ситуациях. Получался немного громоздкий, но тем не менее живой стенд для проверки разных режимов работы.

Материалы традиционно были авторские, традиционно цветные и сшитые на пружине. Не кислый такой томик на 138 страниц плюс лабораторные работы на 98 страниц. Большая подборка по курсу MTCSWE с глубоким погружением в материал. Без преувеличения — информации дается много: как и теоретической, так и практической. Теории по L2 довольно таки много, как по мне. MTU например весьма глубоко рассматривается. Также подробно идет (R/M) STP, ARP, VLAN.

Не очень понравилось, как мы попали с таймингом по времени про VLAN — начали мы их во второй половине дня в субботу и продолжили в воскресенье.. их бы все-таки на более свежую голову разбирать. Особенно когда речь идет уже о практике. В лабораторных работах были задания на анализ ситуации, с которыми видимо особо не сталкивались и получалось — ну мы посмотрели, так не заводится или заводится с нагрузкой. Немного сбивало с толку :)

Сразу скажу, что сам экзамен я не сдал. Мне удалось набрать только 53%. Не смотря на качественный подход, практических умений не хватило все-таки. Сложности обещали сразу, видел комментарии, что экзамен не простой. Сам только не представлял насколько. Традиционно на экзамен дается час времени и 24 вопроса (хотя почему-то пишут про 25). Вопросы снова по традиции с закавыками на один выбор или множественный выбор. Самая большая засада для меня была с нехваткой времени — на перепроверку ответов его тоже не хватило, разбором типовых конфигураций с VLAN’ами и расчетами по RSTP. Без практического опыта, полученного и переваренного предварительно — сложно. Теперь, когда стали понятны слабые стороны, можно будет подготовиться лучше и попробовать сдать повторно. Надеюсь, что во второй раз результат получится более приятный. Менее болезненным для меня, как слушателя — повторное обучение в случае неудачной сдачи экзамена у Дмитрия проходит полностью бесплатно. Такие риски он на себя берет — дает возможность укрепить знания и полноценно сдать экзамен.

PS: Большое спасибо Дмитрию, что решился читать реально непростой курс. А также было здорово увидеться с коллегами, с которыми были знакомы исключительно заочно :-)

Второго дня в версии 6.47 ветки stable завезли поддержку DoH (DNS over HTTPS). До этого оно было только в ветке с beta и использовать ее не очень хотелось в виду отсутствия стабильности. Почему это так важно? Дело в том, что DNS без каких-либо дополнений дает возможность вышестоящему провайдеру смотреть и подменять dns-запросы. Не видно причин, зачем ему давать такое делать. А также есть некая простота в том, что теперь свои dns-запросы не нужно заворачивать в тот же VPN.

DNS поверх HTTPS (DoH) — протокол для выполнения разрешения DNS по протоколу HTTPS. Целью этого метода >является повышение конфиденциальности и безопасности пользователей путём предотвращения перехвата и >манипулирования данными DNS с помощью атак типа «Атака посредника».

Первым делом нужно обновиться до 6.47 в ветке stable (или воспользовать beta). В случае с long-term стоит либо потерпеть и подождать или переключиться на stable.

Далее идем в IP -> DNS. Сразу же стоит обратить внимание, что вы можете получать DNS динамически (вышестоящий провайдер или настройки APN) и надо бы убрать автоматику. Чаще всего выглядит это как-то так:

Теперь нужно провести небольшую артподготовку, а именно скачать и импортировать список корневых сертификатов. Делается это двумя командами:

/tool fetch url=https://erza.ru/cert/cacert.pem
/certificate import file-name=cacert.pem passphrase=""

Также список корневых сертификатов можно взять на сайте haxx.se или же с DigiCert

После чего удалим лишние dns-серверы и впишем свои. В итоге у нас все выглядит вот так:

Провести проверку можно с помощью torch или в connection tracker:

Список DoH серверов — смотреть тут, но самые популярные скорее всего будут Google ( https://8.8.8.8/dns-query ) и Cloudflare ( https://1.1.1.1/dns-query ).

Тестируем и проверяем на сайте Cloudflare

На всякий случай привожу листинг команд:

/tool fetch url=https://erza.ru/cert/cacert.pem
/certificate import file-name=cacert.pem passphrase=""
/ip dns set use-doh-server=https://1.1.1.1/dns-query
/ip dns set verify-doh-cert=yes
/ip dns set servers=""

UPDATE: Никита Тарикин набросал еще более интересную штуку со скриптом и поворотами — MikroTik DNS-over-HTTPS CloudFlare :)

С выходом Winbox 3.22 появился в этой чудесной программе Legacy Mode, который позволяет, не смотря на усилия инженеров, подключаться менее защищенными методами к роутерам с RouterOS младше версии 6.43. Довольно полезная фишка для тех, кто не может или не хочет обновляться. Стоит заметить, что она выключена по умолчанию, включается впрочем просто:

Так что если вдруг видите ошибку — router does not support secure connection please enable legacy mode — знаете, что нужно включить.

Про связку Mikrotik с разными IPTV провайдеров можно прочитать в этих самых интернетах, но суть обычно сводится к тому, что у нас какая-то несложная схема с дополнительным кабелем к приставке и в роутер, а там уже как-то разбираемся. Дополнительный кабель мне тянуть не очень хотелось, включить приставку было интересно, не трогая существующую схему подключения.

Визуально настройки выглядят как на картинке ниже:

1. Первым делом ставим пакет multicast, без него можно не продолжать — ставим традиционным способом: скачиваем дополнительные пакеты, закидываем в роутер и перезагружаемся;
2. В пункте Routing появится IGMP Proxy — нам туда;
3. Нам нужно создать логику для нашей IGMP Proxy — кто апстрим и кто слушатель. Создается аналогично правилам;
4. Настройки для апстрима — откуда приходить наш поток, у нас это ether1 — порт провайдера или WAN;
5. Настройки для слушателя — в зависимости от вашей сети, но чаще все остальные порты в бридже, потому логичнее отдавать на него. У вас могут быть и более сложные варианты, соответственно, можно выбрать и другое;
6. Опциональный пункт, который зависит от ваших firewall filter rules — если все наглухо заблокировано, то нужно будет открыть UDP в цепочке forward. В ограничителях можно ничего не выставлять, но безопаснее будет сократить диапазон разрешенных адресов до сети провайдера или сервера вещания (нужно учитывать, что он может меняться).

Можно праздновать победу и отключать приставку от телевизора, особенно если вы его не особо смотрите :)

...регулярно вижу вопросы из серии: «Где бы мне научиться работать с оборудованием Mikrotik, а то что-то ничего непонятно». Более или менее закрою вопрос этим опусом.

Есть буквально несколько способов изучить предмет:

1. Самостоятельно изучение — внимательно читаете эти самые интернеты, изучаете официальную документацию, форумы, аккуратно применяете статьи в блогах (так как информации много устаревшей и не всегда рабочей). Из плюсов — условно бесплатно. Минусы — сравнительно не быстро, большой поток информации, которую нужно фильтровать.

2. Обучение заочное — можно пройти онлайн курс Дмитрия Скоромнова, экзамен сдавать или не сдавать — дело ваше. Курс довольно подробный. По нему я готовился сдавать MTCNA и довольно таки он мне сильно помог. Плюсы — самостоятельно изучение в свободном ритме, можно проконсультироваться по электропочте, полный и добротный курс. Минусы — не будет официального сертификата, нужно немного заплатить.

3. Обучение очное лайт-версия — у Романа Козлова «Курс молодого бойца» пока не проходит по техническим причинам, но есть вариант от MTI — MikroTik Basic MTBMTI. Плюсы — хорошее начало, один день, есть бонусы. Минусы — обычно в будний день и нужно ехать ножками в Москву.

4. Обучение реальное и живое — речь о начальном курсе MTCNA, это полноценное обучение с экзаменом и сертификатами. Здесь у вас довольно широкий выбор как места, так и тренеров. Обычно говорят, что первый курс можно слушать практически у всех. Кого-то определенного рекомендовать не буду — здесь на ваш выбор. Сильные и слабые стороны есть у всех тренеров. Плюсы — полноценное обучение, сертификат (если сдадите экзамен). Минусы — затраты по деньгами и времени (3-4 дня курс).

Немного ошибся и не модернизировал везде скрипты при обновлении, в результате при выходе новой ветки извещений о новой версии не получил. А все почему? Сравнение нужно делать правильно.

Не правильно
$Installed < $Latest

Правильно
$Installed != $Latest

Например мы сравниванием версии 6.45.6 (Installed) и 6.46 (Latest). Получается, что Mikrotik берет значение как число и выходит, что 646 (Latest) никак не может быть больше 6.45.6 (Installed) . В итоге неправильное сравнение больше-меньше конечно будет работать, но не во всех случаях. Для обеспечения универсальности лучше использовать сравнение. Иными словами, если у нас есть различия в версии, то явно нужно обновляться.

Mikrotik обновляется и обновляет прошивку на точках доступа, если включена политика Upgrade policy — require-same-version. Скачивать прошивку не обязательно. Единственный нюанс — работает только для одной и той же архитектуры, например ARM. Дополнительно скачивать прошивку не нужно. Если к CAPsMAN подключены точки доступа с разной архитектурой процессора, то неизбежно нужно выкладывать прошику и задавать каталог для нее в CAP Interface -> Manager -> Package Path.

К примеру у нас RB3011 или RB4011 с архитектурой ARM, а к ним HAP AC2 и/или CAP AC с той же самой архитектурой и таким образом мы можем обновлять весь парк без каких-либо дополнительных телодвижений. Естественно это не касается Routherboard Firmware.

Видео об этом чудесной вещи:

Сказка про то, что капсман не работает с точками не различающимися версиями уже какое-то время сказка, но не совсем. Все зависит от политики Upgrade policy — если требуется та же версия, то точки с другой версией и правда не смогут подключиться. А вот при Upgrade policy в значении none — смогут и это даже будет работать. Подозреваю сложности могут начаться в том случае, если вдруг обновятся частоты и значения будут разные. Но это тоже такое... не слишком частое явление.

Камрад разбирал рекламный экран CL_LedArt, а там неожиданно — латвийский зверек...

Напоминает послания мастеров. :-)

Ходит много разных разговоров на тему — стоит ли получать вендорские сертификаты. С одной стороны выходит, что работая с оборудованием, можно научиться всему самостоятельно. Конечно это займет определенное время, усилия, потребует самоотверженности и жертв в виде времени. Но есть более экономный в плане затрат времени путь — обучение и последующая сертификация. Из минусов этого пути — денежные затраты. А в остальном плюсы в виде структурированной подачи материала, ответы на интересующие вопросы от квалифицированного тренера и при успешной сдаче экзамена — подтверждающий обучение и статус сертификат. В случае с сертификацией Mikrotik дается еще и лицензия четвертого уровня.

Год назад я уже проходил обучение и добился сравнительно неплохого результата. Курс мне читал Роман Козлов из IntegraSky. В прошлый раз я набрал 85%, что по моему мнению соответствует четверке. То есть все, что ниже 90% — это какие-то неправильные ответы и по-моему в пяти бальной системе квалифицируется именно так. К слову сказать, это был второй результат в группе. Но предела совершенству нет и мне представилась возможность улучшить свои результаты и продлить сертификат, пройдя обучение и экзамен повторно.

В этом году курс слушал у Дмитрия Скоромнова из Курсы-по-ИТ.рф Vetriks. Он также известен как создатель альтернативных онлайн курсов по Mikrotik, довольно таки подробных. По ним я знакомился с оборудованием, разбирал программу, готовился к реальным курсам. Плюс в том, что сейчас они у меня тоже есть, что огромный плюс — всегда можно вернуться и пересмотреть какие-то моменты. В этом году Дмитрий стал сертифицированным тренером и официально читает как минимум программу по MTCNA.

Курс MTCNA мы слушали в районе Таганки (или Марксистской), в нескольких минутах от метро. Расположение крайне удачное. Помню в прошлый раз ездил на Окружную, что несколько дальше от центра, и как по мне чуть менее удобно. В самом обучающем центре все выглядит свежим — второй этаж, столы, стулья и интернет, если потребуется. Извините за подробность, но и уютный туалет, где можно уединиться для размышлений. Что для меня важно — хорошее кондиционирование помещения при сравнительно компактном помещении. Есть такая особенность — при духоте очень уж в сон тянет. Учащиеся работают на своем оборудовании, здесь речь идет о ноутбуке, а роутер выдается на время обучения. Момент слегка спорный — раньше я думал, что прелесть в стационарных местах в обучающих центрах, но со временем привычка работать на своем оборудование, которое ты знаешь все-таки возобладала.

Как только мы открыли наши материалы, то на меня нахлынула ностальгия — «ба, да это же очень похоже на то, что у меня было». Именно тот самый курс от Дмитрия. Но пройдясь по нему и после, сравнив с тем, что давали у Романа, вынужден был для себя признать, что это было только первое впечатление. Материалы курса идут по программе курса, но вместе с тем полнее и новее. Дмитрий крайне дотошно относится к ним: делая пометки, постоянно актуализируя их, наполняет свежими скриншотами. Даже в процессе рассказа и в перерывах, можно было обратить внимание на тот или иной пункт, и быть уверенным, что его пояснят, внесут пометки и актуализируют. В процессе прохождения не возникает диссонанса, когда изображение и подписи к ним как-то не соответствуют. Объем материала определенно больше того, что дается в официальном курсе, но здесь у меня не было сомнений так как я видел подход к аналогичному его видеокурсу. Составлено качественно, как говорится — сделано с любовью.

Стоит подробнее остановиться на некоторых материалах курса по темам:

• * Очень плотный модуль введения. Дело в том, что этот модуль обычно считают маловажным и проходят его быстро. Да, для тех, кто уже что-то делал с Mikrotik этот модуль может показаться несколько скучным, но именно здесь дается основной базис. Те, кто только начинает — по-моему бесценно. К примеру здесь же дается информация по набору пакетов и как бывает, когда на некоторых аппаратах не проходит обновление, поскольку памяти недостаточно. В этом же модуле подробно разбирается netinstall с лабораторной работой — эта часть мне была особенно интересна, потому что толком делал ее пару раз всего. На прошлом обучении тему посчитали не очень важной и потрогали ее вкратце, она совершенно не запомнилась. Здесь же есть рассказ о конфигурации по умолчанию, точнее дефолтной конфигурации — пожалуй частый вопрос о том, а как там посмотреть дефолтный firewall.
• * Не менее подробно идет продолжение во втором модуле, который не просто рассказывает о наличии бриджа, но и об его особенностях. Здесь ни слова нет об устаревшем master/slave, что до сих пор можно увидеть в непереработанных материалах. С исторической точки зрения, наверное, знать об этом неплохо, но чисто с практической — нет.
• * Подробная настройка DHCP из третьего модуля действительно подробная, что интересно, то во время прошлого обучения крайне рекомендовали минимизировать время на создание dhcp-сервера при помощи визарда. Признаться, я так им и пользовался постоянно. Но такой путь хоть и проще, хоть и быстрее — не самый лучший, так как не дает всестороннего понимания.
• * Роутинг в четвертом модуле дается также полнее — рассматриваются флаги маршрутом, использование нескольких адресов и check gateway. Здесь я могу понять Романа, который читал курс, что это подробнее в MTCRE, но у Дмитрия просто больше материала плюс есть о check gateway сразу.
• * Wireless — преимущественно похожий модуль, у Романа был небольшой экскурс в физику процесса (в частности про волны и зону Френеля), а у Дмитрия, не смотря на наличие чуть меньшей теории, модуль больше посвящен практике конкретно оборудовании Mirkotik. Здесь опять же тоже можно понять, так как модуль больше обзорный и есть более углубленный MTCWE.
• * Вишенка в торте модуль про Firewall.. он не просто больше и подробнее, что описать в двух словах, наверное, не выйдет. Для глубокого понимания работы дается кое-что из курса по управлению трафика — это схемы прохождения трафика и их разбор. С ними все встает на свои места сразу. Рассмотрены типы файерволов. А также connection tracker и состояния соединений, о чем у Романа было все-таки меньше. Довольно таки большое количество примеров и пояснений. На что лично я обратил внимание — маскарад всегда и везде. Как-то после занятий с Романом у меня отложилась вот так эта тема, но говоря о NAT стоит понимать, что кроме него есть scr-nat и он не менее интересен и религиозно более верный (это как тема netmap vs dst-nat). Дмитрий как раз раскрывает и эту тему. Более подробно рассматриваются пользовательские цепочки, не смотря на то, что это все-таки из трафик контроля — другой курс, но на экзамене было нечто подобное — информация и примеры не помешали, а скорее помогли. Также у Дмитрия есть довольно подробные рекомендации по ошибкам в файерволе и рекомендации по проектированию.
• * Модуль по QoS оказался также шире, чем прошлой программе обучения — больше примеров и более подробные объяснения на схеме прохождения пакетов. Видимо под влиянием курса по трафик контролю, у Дмитрия эта тема дается глубже.
• * Два оставшихся модуля в списке по туннелям и последний обзорный модуль по tools таких ярких впечатлений уже не оставил. Видимо уже был измотан и ждал приближения неизбежного — экзамена :)

Лабораторные работы — та часть курса, без которой вся теория была бы бессмысленной. Помимо основной книжки с материалами, есть книга с работами. Они идут по порядку с темами курсов. Они в лучшую сторону отличаются от того, что я видел раньше. Нет работ из серии — «Смотри, как я делаю. А теперь повтори». Дается алгоритм выполнения — точное задание по пунктам, которое предстоит выполнить. Четкое ТЗ помогает делать лабораторные работы именно так, как это предусматривается программой. Уделяется внимание такой, казалось бы, простой вещи как netinstall. С виду простой, но далеко не все умеют его делать и не знают о подводных камнях. Есть групповые лабораторные работы, которые выполняются в паре. Этот момент мне понравился еще в прошлый раз у Романа — необычно и несколько развивает в плане дебага, когда правильно нужно чтобы было не только у тебя, но и у твоего партнера. Чего здесь не было, но эта штука мне показалась полезной в прошлый раз — рисование схем, то есть для понимания связей мы рисуем схему. Правда, у Дмитрия были более подробные задания в описаниях лабораторных работ и здесь это не потребовалось. В остальном лабораторки у Дмитрия сложнее, выполняются в среднем дольше (нет работ из серии «делай как я» или «запусти команду и посмотри»).

Оформление материалов хорошее, есть достаточное количество текста и иллюстраций. То чего так не хватало у Романа — есть поля для заметок. Нужно заметить, что там выдавали блокнот, но вот спустя год я помню, где лежат материалы, а где черт возьми этот блокнот? :) Единственное над чем стоит, наверное, немного поработать Дмитрию в плане улучшения — сшив материалов. Они идут на пружине и не слишком готовы к стрессу в виде изгиба, есть такой недостаток у  пластиковых пружин. Возможно перейти на металлические. Так они станут долговечнее и проживут дольше.

При сдаче экзамена соблюдались все необходимые правила — тренер не подсказывает, слушатели не общаются — все в полном порядке. Сдавать мне было немного страшновато, не очень люблю такие испытания. Волнение также было из-за того, что уверенность в том, что сдам у меня была, а вот сдам ли лучше — черт его знает. В отличии от Романа тестового экзамена нет, что вероятно и к лучшему. Помнится мне, тестовый экзамен я завалил и довольно сильно тогда, что меня сильно расстроило. Дмитрий же тестового экзамена не проводил, а больше ориентировал на внимательность при разборе вопросов, при ответе на вопросы и поясняя логику вопросов. После трехдневной сессии такой подход оказался даже лучше. В результате невнимательность почти полностью побеждена и я набрал 97% на экзамене, лучший результат в группе. Для себя считаю это очень хорошим результатом.

Соорудил скрипт для обновления адрес листа или листов более или менее автоматически. Давно хотел завести что-то подобное для автоматизации.

Первоначальная задумка:

• * у нас удаленно лежит адрес лист (где-то на веб сервере);
• * мы по расписанию (это шедулер) забираем его к себе (это фетч);
• * далее смотрим не нулевой ли размер, если нулевой — то выходим (пока не сделано, проверка идет по наличию файла);
• * если все в порядке, то очищаем существующий адрес лист, импортируем новый и удаляем файл;

Из ограничений:

• * пока не умеем работать с динамическими записями и очищать их;
• * список адресов — это по сути rsc;
• * список адресов там пока жестко задан адрес лист (непонятно получится ли это обратить в динамичный выбор);

Ссылка на сам скрипт:
https://github.com/skurudo/mikrotik-alau