Error bad http response mikrotik

Error bad http response mikrotik

Mon Feb 11, 2019 4:32 pm

Hi,
I have the following Configuration:
VMware ESXi v6.7
installed version: CHR 6.43.8

update in winbox : system-packages-check for updates

then，ERROR message will display: “bad HTTP response”
what i have checked:
1,DNS,is ok!
2,firewall: disabled all firewall rules, NAT rules only left «srcnat-masquerade»

can anyone advise how to solve this issue_
Thanks!

Re: ERROR: bad HTTP response while trying to update

Wed Feb 13, 2019 11:10 pm

Re: ERROR: bad HTTP response while trying to update

Thu Feb 14, 2019 4:33 am

Re: ERROR: bad HTTP response while trying to update

Thu Feb 28, 2019 5:37 am

have try it , not work

Re: ERROR: bad HTTP response while trying to update

Thu Feb 28, 2019 8:02 am

«302 redirected» says everything — the request is redirected, exactly as I suspected.. I am not surprised that automatic download in RouterOS didn’t work and I don’t think it is caused by your device. More like something upstream.
this probably brings more questions than answers:
— why is it redirected?
— where does it go?

I can’t answer why it is happening but if you find out where it goes, it might point you in right direction.
If you are curious what is happening, you can set a sniffer, record those packets, save it in file, download to computer and open it in wireshark:

(enter those commands one by one, not together please)

Re: ERROR: bad HTTP response while trying to update

Mon Mar 04, 2019 6:53 pm

«302 redirected» says everything — the request is redirected, exactly as I suspected.. I am not surprised that automatic download in RouterOS didn’t work and I don’t think it is caused by your device. More like something upstream.
this probably brings more questions than answers:
— why is it redirected?
— where does it go?

I can’t answer why it is happening but if you find out where it goes, it might point you in right direction.
If you are curious what is happening, you can set a sniffer, record those packets, save it in file, download to computer and open it in wireshark:

(enter those commands one by one, not together please)

http302.png
If you don’t have wireshark (and you don’t want to install it), you can either view packets straight in RouterOS (but its complicated to find the right packet) or you can simply open the pcap file in notepad and look for line saying «Location: . » there should be only one in the whole file.

ISP blocked the Http GET request…（may be）

Источник

Проблема с обновлением MikroTik RouterOS на роутерах с 16MB FLASH

Недавно ребята из MikroTik накосячили (опять?) и мой любимый «hAP lite» перестал обновляться. С версии 6.45.1 на 6.45.2 не обновлялся, писал, что недостаточно места. Косяк заметили и в версии 6.45.3 для архитектуры SMIPS уменьшили размер пакета, выкинув из него «лишнее» (smips — reduced RouterOS main package size (disabled LTE modem, dot1x and SwOS support)). Теперь пакет скачивается, места ему хватает, но… После перезагрузки версия остаётся 6.45.1 а в логе видим сообщение «no enough space for upgrade». Факир был пьян и фокус не удался.

Окей, гугл, mikrotik no enough space for upgrade
На forum.mikrotik.com узнаём, что проблема давняя, первое упоминание аж в 2017 году по версии 6.40.4. Похоже в компании есть проблемы с тестированием, печально.
Находим рекомендацию использовать fix_space.npk, скачиваем, закидываем на роутер, перезагружаем его и… Мне не помогло.

Дальше, наконец-то, находим полезную статью. Вкратце:

• обновления ставятся пакетами
• по умолчанию пакеты наследуются от мета-пакета (в моём случае «routeros-smips»)
• удалить (деинсталлировать) наследованные пакеты нельзя, ведь информация о них содержится в мета-пакете
• при обновлении обновляется мета-пакет и его наследники, даже отключенные
• постоянная память роутера разделена на разделы — скрытый системный и доступный для пользователя
• для обновления нужный пакет/мета-пакет необходимо закинуть в пользовательский раздел и перезагрузиться
• если делать обновление из winbox, web-интерфейса или terminal, нужный мета-пакет автоматически скачивается в пользовательский раздел и роутер перезагружается
• при перезагрузке, если в пользовательском разделе есть пакеты, то из системного раздела удаляются все установленные пакеты и устанавливаются те, что находятся на пользовательском разделе, после чего они удаляются из пользовательского раздела

Из вышесказанного следует, что, если на пользовательский раздел закинуть только нужные пакеты и перезагрузиться, то мета-пакет со всеми наследниками удалится, поставятся только нужные пакеты и, за счёт удаления ненужных, высвободится немного места, так необходимого для последующих обновлений. Давайте проверим.

Роутер бюджетный, поэтому в основном используется дома либо в мелких офисах, значит вряд ли нам нужны пакты advanced-tools, hotspot, ipv6, mpls, routing. Подробнее о пакетах читайте на официальной wiki, выбирайте, какие вам нужны, а какие нет. Например на данном роутере ipv6 отключен, а вот дома я его использую. Будьте внимательны, если забыть поставить нужный пакет, то обновление удаленного роутера — к дальней поездке.

Как видим пользовательская раздел пуст, всего занято 8.5MB

При попытке обновления ругается на отсутствие места. На самом деле скриншот «нарисован», ругалось на версии 6.45.2, с версией 6.45.3 места хватает для загрузки, поэтому пришлось схитрить, но в данном случае мы просто эмулируем похожую ситуацию.

Качаем с офсайта Extra packages для нужной архитектуры, для SMIPS, так как проблема вроде только на ней. Распаковываем и закидываем нужные пакеты на пользовательский раздел. Перезагружаемся.

Вуаля! Обновление прошло успешно, мета-пакет со всеми наследниками удалён, установлены только нужные пакеты.

Пользовательский раздел пуст, всего занято 8MB, т.е. 0.5MB мы высвободили.

Будут ли теперь работать автоматические обновления? Будут. Для проверки, на другом роутере я обновил вручную до версии 6.45.2 а после автоматически обновил до 6.45.3

Ребятам из MikroTik хочется пожелать быть более внимательными, но кто не без греха.
_{с ошибками и замечаниями прошу в личку}

Источник

Перевод презентации по Mikrotik — My «holy war» against masquerade

Недавно я проходил обучение по MikroTik, на котором узнал про презентацию под названием My «holy war» against masquerade. Я не смог найти точную информацию о том, кто выступал с этой презентацией. Знаю только, что это было на одном из MUM (MikroTik User Meeting) в 2017 году. Информация в этой презентации мне показалась полезной, поэтому я решил ее перевести и прокомментировать.

Введение

У меня есть некоторое количество статей по работе с описываемыми устройствами, в том числе популярный материал на тему базовой настройки mikrotik, которую прочитало и прокомментировало огромное количество людей. В статьях есть не совсем верные, а иногда и ошибочные настройки, о которых никто не упомянул в комментариях. Информация о них есть в вышеупомянутой презентации, поэтому я решил ее перевести и разобрать. А затем и отредактировать свои статьи, чтобы исправить там ошибки.

Я не такой уж большой специалист в микротиках, так что могу что-то не совсем верно понять и перевести. Прошу об этом сказать в комментариях, если кто-то заметит. К тому же последние пару-тройку лет для меня микротики скорее как хобби. Я не работаю с физическими сетями и устройствами, которые их обслуживают. Микротиками пользуюсь в личных целях дома, на даче, у знакомых.

В презентации рассмотрены 9 самых популярных ошибок в MikroTik, с которыми обращаются в техническую поддержку. Цель выступления — сократить количество этих обращений. Форма подачи материала — сначала показано неправильное решение, потом объяснение ошибки и правильное решение. Начнем разбирать эти ошибки по порядку.

Большая нагрузка от использования фильтра Layer 7

У меня есть статья про блокировку сайтов микротиком. В ней показана ошибочная настройка, которую как раз разбирает автор презентации.

В принципе, тут не трудно догадаться, в чем проблема. Об этом говорили и в комментариях, и сам я знал, что могут быть проблемы с производительностью. Суть в том, что с таким правилом блокировки все пакеты будут анализироваться по регулярным выражениям. Это очень затратная по ресурсам процессора операция. Где-то дома, где небольшой трафик, это может быть не очень заметно. Но если ваш роутер прокачивает хорошую нагрузку, то несколько подобных правил выведут загрузку CPU в потолок.

Действовать нужно по-другому. Layer 7 protocol задуман как способ поиска определенных шаблонов в подключениях для маркировки трафика на основе этих шаблонов. А дальше уже маркированный трафик обрабатывается фаерволом. Фильтр с Layer 7 protocol не должен проверять абсолютно весь трафик. Он должен брать первые 10 пакетов или 2KB данных подключения и анализировать только их.

Корректное использование Layer 7 protocol показано на следующем примере.

Очереди работают неправильно

При такой настройке очереди будут работать, только когда запущена утилита Torch, или выключен fasttrack. При этом обрабатывается только download трафик. Между локальными сетями так же срабатывает ограничение. Обнаружить ошибку можно по счетчикам в очередях. Они покажут, когда правило работает, а когда нет.

Причина этой ошибки в том, что режим Fasttrack работает для всего трафика, а он работу с очередями не поддерживает. Ускорение обработки трафика в режиме fasttrack как раз и достигается за счет того, что трафик не проходит по всем цепочкам обработки трафика фаерволом и очередями. Так же в правилах очередей не установлен параметр target.

В данном случае правильно simple queue должны быть настроены следующим образом.

Мы включили fasttrack только для трафика между указанными локальными сетями. Остальной трафик идет в обычном режиме. Плюс, корректно настроили очереди, указав target.

Высокая нагрузка CPU на PPPoE server

Проблема данной конфигурации в том, что возникает огромная нагрузка на CPU, из-за чего отключает абонентов, у них нестабильная связь. Как я понял, это актуально для провайдеров, которые используют оборудование Микротик для подключения абонентов.

Во время диагностики видно, что процесс routing полностью загружает одно ядро на 100%. На остальных ядрах периодически появляется максимальная нагрузка процессов ppp и networking.

Причина данной ошибки в том, что динамическая маршрутизация OSPF спамит обновлением маршрутов с сеткой /32 от клиентов. При этом, все протоколы динамической маршрутизации в микротиках ограничены одним ядром. То есть параллелить свою работу не умеют. В итоге, при каждом подключении или отключении абонента по pppoe, начинается обновление маршрутов. Когда их много, они загружают полностью ядро процессора и все начинает тормозить.

Если я правильно понял, в данном случае решением будет использовать тип Area для ospf — stub (тупиковая), который можно указать в настройках. Предлагается такое решение (умничать не буду, почти ничего не понял 🙂

High CPU load on PPPoE server

Еще одна проблема с похожими симптомами. Есть PPPoE сервер и куча клиентов. Все это в какой-то момент начинает тормозить. Максимальную нагрузку дает процесс firewall. Для клиентов используется NAT с правилом Masquerade.

В данном случае использование Masquerade является ошибкой. По своей сути, маскарад это отдельная реализация srcnat. Она была разработана для ситуаций, когда внешний ip адрес не постоянный, периодически меняется. Каждый раз, когда интерфейс отключается или меняется его ip адрес, роутер ищет и сбрасывает все подключения, связанные с этим интерфейсом.

В данном случае правильно будет использовать srcnat.

Как я понял из описания проблемы и варианта решения, нужно всегда использовать srcnat, когда у вас постоянный ip адрес. Masquerade только для не постоянного ip адреса.

Локальный ip адрес виден в публичной сети

Ошибка возникает, когда у вас используется несколько каналов в интернет и автоматическое переключение между ними на основе смены дефолтного маршрута. Ip адреса постоянные, но при этом используется Masquerade.

После переключения внешнего канала, информация о серых адресах утекает во внешнюю сеть. Проблема тут как раз в использовании маскарада там, где это не нужно.

Причина ошибки в том, что при переключении каналов все соединения сбрасываются. После этого сброшенные подключения приходят на firewall с состоянием new и отправляются во вне по другому маршруту. Когда основной линк поднимается и восстанавливается исходный маршрут, все установленные соединения по альтернативному маршруту уходят во вне мимо NAT, без преобразования серых адресов.

Решение проблемы простое — использовать srcnat, вместо masquerade, как это было показано в предыдущих примерах. Так же добавить в firewall правила на drop пакетов в состоянии invalid. Обычно это и так делается. На внешних интерфейсах настроить drop пакетов с состоянием new идущих не из цепочки dstnat. Это в целом я тоже чаще всего делаю.

Так же в презентации предлагается сделать маршрут заглушку blackhole для каждого routing-mark. Я не понял, что это такое.

VRRP и проблемы маршрутизации

Симптомы ошибки следующие. Маршрутизация работает неправильно. Fastpath/fasttrack тоже не работает. Сетевые процессы создают высокую нагрузку на процессор.

Причина в том, что VRRP интерфейс создает 2 интерфейса с двумя одинаковыми подсетками на них. Возникает сетевой конфликт. Правильная настройка будет следующая.

DNS Cache

Симптомом проблемы с dns cache будет высокая нагрузка на CPU роутера и большой трафик на внешнем интерфейсе. Заметить проблему можно будет через torch или profile.

Проблема давно известная. Я сам с ней сталкивался, когда забывал фаерволом закрыть доступ к dns микротика из интернета. Существует известный тип атаки DNS Amplification. Подробнее о нем можно почитать в интернете. Суть в том, что на dns сервер поступает запрос с поддельным адресом отправителя. В качестве ответа dns отправляет большой объем данных на поддельный ip адрес. Таким образом на этот адрес устраивается ddos атака.

Защита тут простая — необходимо запретить с помощью firewall запросы к dns из интернета.

IPSec туннель не работает

Суть проблемы в том, что не удается создать туннель, потому что пакеты ipsec дропаются. Причина тут в том, что правила NAT подменяют src-address в шифрованных пакетах. В итоге измененный адрес источника не принимается на второй стороне.

Решить эту проблему можно с помощью raw table. Смысл этой таблицы в том, что с ее помощью можно обходить механизм трекинга соединений (connection tracker), пропуская напрямую или дропая пакеты. Это в целом снижает нагрузку на CPU, если у вас сильно нагруженная железка.

В данном случае нужно добавить действие notrack для ipsec пакетов, для того, чтобы:

• не было дефрагментации пакетов
• они шли мимо NAT
• они шли мимо правил fasttrack, маркировки пакетов, и т.д.

Шифрованный Bridge для двух локальных сетей через интернет

Проблема данной схемы в том, что все тормозит и работает нестабильно. Как я понял, используется EoIP поверх l2tp для того, чтобы построить единое адресное пространство для двух удаленных сетей. Причина тормозов в огромных накладных расходах двух туннелей, сильной фрагментации пакетов.

Решением в данном случае будет просто не использовать такую схему построения vpn в Mikrotik. Достаточно использовать шифрованный EoIP туннель.

Заключение

На этом все. Разобрал все проблемы из презентации. Постарался не просто перевести, а осмыслить проблемы и написать понятным языком их суть и предложенное решение. Так как сам не имею большого опыта работы с Микротиками в промышленной нагруженной эксплуатации, мог что-то напутать или понять неправильно. Прошу поправить в комментариях.

Источник

Проблема с обновлением MikroTik RouterOS на роутерах с 16MB FLASH

Недавно ребята из MikroTik накосячили (опять?) и мой любимый «hAP lite» перестал обновляться. С версии 6.45.1 на 6.45.2 не обновлялся, писал, что недостаточно места. Косяк заметили и в версии 6.45.3 для архитектуры SMIPS уменьшили размер пакета, выкинув из него «лишнее» (smips — reduced RouterOS main package size (disabled LTE modem, dot1x and SwOS support)). Теперь пакет скачивается, места ему хватает, но… После перезагрузки версия остаётся 6.45.1 а в логе видим сообщение «no enough space for upgrade». Факир был пьян и фокус не удался.

Окей, гугл, mikrotik no enough space for upgrade
На forum.mikrotik.com узнаём, что проблема давняя, первое упоминание аж в 2017 году по версии 6.40.4. Похоже в компании есть проблемы с тестированием, печально.
Находим рекомендацию использовать fix_space.npk, скачиваем, закидываем на роутер, перезагружаем его и… Мне не помогло.

Дальше, наконец-то, находим полезную статью. Вкратце:

• обновления ставятся пакетами
• по умолчанию пакеты наследуются от мета-пакета (в моём случае «routeros-smips»)
• удалить (деинсталлировать) наследованные пакеты нельзя, ведь информация о них содержится в мета-пакете
• при обновлении обновляется мета-пакет и его наследники, даже отключенные
• постоянная память роутера разделена на разделы — скрытый системный и доступный для пользователя
• для обновления нужный пакет/мета-пакет необходимо закинуть в пользовательский раздел и перезагрузиться
• если делать обновление из winbox, web-интерфейса или terminal, нужный мета-пакет автоматически скачивается в пользовательский раздел и роутер перезагружается
• при перезагрузке, если в пользовательском разделе есть пакеты, то из системного раздела удаляются все установленные пакеты и устанавливаются те, что находятся на пользовательском разделе, после чего они удаляются из пользовательского раздела

Из вышесказанного следует, что, если на пользовательский раздел закинуть только нужные пакеты и перезагрузиться, то мета-пакет со всеми наследниками удалится, поставятся только нужные пакеты и, за счёт удаления ненужных, высвободится немного места, так необходимого для последующих обновлений. Давайте проверим.

Роутер бюджетный, поэтому в основном используется дома либо в мелких офисах, значит вряд ли нам нужны пакты advanced-tools, hotspot, ipv6, mpls, routing. Подробнее о пакетах читайте на официальной wiki, выбирайте, какие вам нужны, а какие нет. Например на данном роутере ipv6 отключен, а вот дома я его использую. Будьте внимательны, если забыть поставить нужный пакет, то обновление удаленного роутера — к дальней поездке.

Как видим пользовательская раздел пуст, всего занято 8.5MB

При попытке обновления ругается на отсутствие места. На самом деле скриншот «нарисован», ругалось на версии 6.45.2, с версией 6.45.3 места хватает для загрузки, поэтому пришлось схитрить, но в данном случае мы просто эмулируем похожую ситуацию.

Качаем с офсайта Extra packages для нужной архитектуры, для SMIPS, так как проблема вроде только на ней. Распаковываем и закидываем нужные пакеты на пользовательский раздел. Перезагружаемся.

Вуаля! Обновление прошло успешно, мета-пакет со всеми наследниками удалён, установлены только нужные пакеты.

Пользовательский раздел пуст, всего занято 8MB, т.е. 0.5MB мы высвободили.

Будут ли теперь работать автоматические обновления? Будут. Для проверки, на другом роутере я обновил вручную до версии 6.45.2 а после автоматически обновил до 6.45.3

Ребятам из MikroTik хочется пожелать быть более внимательными, но кто не без греха.
_{с ошибками и замечаниями прошу в личку}

Источник

Error bad http response mikrotik

Tue Feb 16, 2016 2:44 pm

Good day this is a new build which i did on my own however i’m receiving this error: Could not resolve dns name when i try to update the server or any packages ?

Also the hotspot i can login on the page but won’t connect to internet ?

Re: Mikrotik 6.34.1 Check updates fail

Mon Mar 21, 2016 9:58 am

Re: Mikrotik 6.34.1 Check updates fail

Mon Mar 21, 2016 10:35 am

Re: Mikrotik 6.34.1 Check updates fail

Thu Mar 24, 2016 8:09 pm

Re: Mikrotik 6.34.1 Check updates fail

Sat Mar 26, 2016 7:49 pm

Re: Mikrotik 6.34.1 Check updates fail

Sat Mar 26, 2016 8:45 pm

Re: Mikrotik 6.34.1 Check updates fail

Thu Apr 07, 2016 6:08 am

same problem but more error messages. «ERROR: Could not resolve DNS name» and «ERROR: Bad HTTP response»

The Ping test received replies from the host upgrade.mikrotik.com.

Re: Mikrotik 6.34.1 Check updates fail

Thu Apr 07, 2016 9:41 am

Re: Mikrotik 6.34.1 Check updates fail

Thu Apr 07, 2016 9:51 am

Re: Mikrotik 6.34.1 Check updates fail

Sun Apr 10, 2016 7:24 am

Update 13th April 2016

Problem solved, error message «wireless-6.34-mipsebe.npk file» did not appear after the router reboot and the «wireless-6.34-mipsebe.npk file size remains as ZERO.

Re: Mikrotik 6.34.1 Check updates fail

Sun Apr 10, 2016 8:11 pm

Download package and upload to router solves the problem.

Add google dns 8.8.8.8 & 8.8.4.4

Re: Mikrotik 6.34.1 Check updates fail

Thu Jun 30, 2016 9:36 pm

Same problem here, tried with only 8.8.8.8 and many different free DNS servers, but the router did not see upgrade.mikrotik.com. ROS 6.33 / 6.35. This is my home router, UPC cable net behind their UBEE cable modem.
Client PC connected to the router, using the same DNS servers can ping the upgrade server. Other Mikrotik routers at other ISPs can upgrade without problem.

Added static entry in IP/DNS for upgrade.mikrotik.com 52.85.184.245 and now works perfectly.
Sometimes things just happen with no explanation

Re: Mikrotik 6.34.1 Check updates fail

Thu Jun 30, 2016 10:12 pm

Re: Mikrotik 6.34.1 Check updates fail

Fri Jul 01, 2016 11:31 am

Re: Mikrotik 6.34.1 Check updates fail

Fri Jul 01, 2016 1:08 pm

Re: Mikrotik 6.34.1 Check updates fail

Fri Jul 15, 2016 7:18 pm

Re: Mikrotik 6.34.1 Check updates fail

Thu Aug 25, 2016 11:20 pm

Re: Mikrotik 6.34.1 Check updates fail

Wed Sep 13, 2017 12:25 pm

Re: Mikrotik 6.34.1 Check updates fail

Thu Oct 26, 2017 11:33 am

Re: Mikrotik 6.34.1 Check updates fail

Wed Feb 14, 2018 12:52 pm

Similar issue here.

I added the static DNS line, and can now ping upgrade.mikrotik.com from within the router, but checking for updates times out

Re: Mikrotik 6.34.1 Check updates fail

Wed Feb 14, 2018 1:08 pm

Re: Mikrotik 6.34.1 Check updates fail

Wed Feb 14, 2018 1:49 pm

Re: Mikrotik 6.34.1 Check updates fail

Tue Apr 10, 2018 9:50 pm

Re: Mikrotik 6.34.1 Check updates fail

Wed Apr 11, 2018 11:27 am

Be warned: it’s a workaround, not a solution!

Re: Mikrotik 6.34.1 Check updates fail

Tue Apr 24, 2018 11:26 am

I had this rather weird issue as well — but mine was self inflicted. Somewhere along the line I must have thought I was clever and added a static DNS entry with a poorly formed regex. It was something like [*esxi*] to point things to my home esxi server.. I don’t know what I was trying to achieve — however the troubleshooting suggested in this thread helped me.

Using the web-based terminal, I did

put [resolve google.com]
(shows the internal IP of my esxi box!)

/ip dns static
print

Then saw the static DNS entry I had, so i removed it (using GUI) and things updated as expected.

Re: Mikrotik 6.34.1 Check updates fail

Sat Aug 18, 2018 12:33 am

Re: Mikrotik 6.34.1 Check updates fail

Sat Aug 18, 2018 3:09 pm

Re: Mikrotik 6.34.1 Check updates fail

Sat Nov 10, 2018 3:16 pm

Re: Mikrotik 6.34.1 Check updates fail

Sat Nov 10, 2018 3:27 pm

Re: Mikrotik 6.34.1 Check updates fail

Sun Dec 02, 2018 10:56 am

I had the following rule in /ip firewall filter

Where LAN was defined as my LAN addresses.

Temporarily disabling this rule fixed it, and allowed me to update. I just enabled it again after.

Note that the above rule was as per the wiki for a secure firewall, I think it may also be in the default set.

Re: Mikrotik 6.34.1 Check updates fail

Sun Dec 02, 2018 2:12 pm

I had the following rule in /ip firewall filter

Where LAN was defined as my LAN addresses.

Temporarily disabling this rule fixed it, and allowed me to update. I just enabled it again after.

Note that the above rule was as per the wiki for a secure firewall, I think it may also be in the default set.

Re: Mikrotik 6.34.1 Check updates fail

Sun Dec 02, 2018 4:20 pm

I had the following rule in /ip firewall filter

Where LAN was defined as my LAN addresses.

Temporarily disabling this rule fixed it, and allowed me to update. I just enabled it again after.

Note that the above rule was as per the wiki for a secure firewall, I think it may also be in the default set.

Re: Mikrotik 6.34.1 Check updates fail

Mon Dec 24, 2018 5:05 am

Re: Mikrotik 6.34.1 Check updates fail

Fri Jan 11, 2019 6:59 am

I have the same problem.

The problem was that blocking rules in firewall were at the very top.
I moved it lower without disabling, and everything started to work

Re: Mikrotik 6.34.1 Check updates fail

Fri Jan 11, 2019 4:18 pm

I have the same problem.

The problem was that blocking rules in firewall were at the very top.
I moved it lower without disabling, and everything started to work

I think there actually are two different types of problem here.
One is user-created, the other one is (could be?) a bug.

If the user blocks the DNS traffic (UDP:53, TCP:53) or the HTTP traffic to/from the update server (IP:185.53.178.9), then it’s clear the update won’t work.
There’s no solution other that making finer grane firewall rules in order to let the router use the DNS for upgrade.mikrotik.com and let the router pull the needed files from there.
If it was just the DNS to be blocked, adding the entry into the hosts file «just fixed the feature»(tm) by bypassing the DNS altogether.

The «other case» is a different story.
There was no firewall filtering, just the «masquerading NAT» to let the packets reach the internet and the answers come back.
Sometimes adding a hosts file entry solved. Some other times, it didn’t.
That’s in my opinion a real software bug that needs further investigation.

I admit I have no clue on which one holds true.
My suspicion goes to the latter case.

Источник

Error bad http response mikrotik

Fri Sep 28, 2012 6:18 pm

I’ve been running mikrotik (x86) hotspot + usermanager + paypal for 3 years, but as of September 5th I’ve been having paypal issues.

When a customer signs up to make a new account and pays with paypal, the funds are transfered to my paypal account, but no time is credited to the customers usermanager account. Looking through the logs I see:

/tool user-manager payment print without-paging

686 user=test103 customer=fair price=1 currency=»CAD» trans-start=sep/28/2012 15:04:20 trans-end=sep/28/2012 15:04:52
trans-status=error result-code=0 result-msg=»PayPal — bad http response» method=paypal

Over the last three weeks I’m seeing the «PayPal — bad http response» error happen on about 90% of all transactions. This is really annoying as the customer gets billed, we receive payment, but the usermanager just errors out. From the customer’s perspective everything looks fine from signup to the paypal redirect back to the router, until they try to log in with their new account and get an «Invalid username or password error.

Has something changed with paypal’s API in the last few weeks? We haven’t changed anything on our setup, network and software-wise. I’ve tried upgrading from 4.17 -> 5.20 and the problem is still occuring. Is anyone else having this issue.

Re: PayPal — bad http response

Fri Sep 28, 2012 8:44 pm

Here’s a packet capture of a (rare) successful paypal transaction between my mikrotik and paypal (paypal is doing a POST callback to the mikrotik):

POST /user?serviceId=MWT.Payment&method=2 HTTP/1.0
Content-Type: application/x-www-form-urlencoded
Host: xxx.xxxx.com
Content-Length: 722

HTTP/1.0 200 OK
Connection: close
Date: Fri, 28 Sep 2012 16:22:50 GMT
Expires: 0

And here’s a failed one:

POST /user?serviceId=MWT.Payment&method=2 HTTP/1.0
Content-Type: application/x-www-form-urlencoded
Host: xxx.xxxx.com
Content-Length: 723

HTTP/1.0 200 OK
Connection: close
Content-Length: 42
Content-Type: text/plain
Date: Fri, 28 Sep 2012 17:35:25 GMT
Expires: 0

FAILED: Internal error (invalid customer)

Re: PayPal — bad http response

Wed Oct 03, 2012 9:51 pm

we have been getting exactly the same problem. from the same time.

We are located Spain. just in case this is a «local» issue.

Have you found a solution?

it is driving me crazy. and we are having to refund alot of unhappy clients.

Re: PayPal — bad http response

Mon Oct 08, 2012 10:44 am

We also have the same problem for about a month.

I’ve sent an e-mail to support@mikrotik.com. I hope we have a solution soon.

Re: PayPal — bad http response

Tue Oct 23, 2012 12:26 pm

Since we have upgraded user-manager to 5.21, the number of «PayPal — bad http response» errors is much lower, but we still have some errors.

Re: PayPal — bad http response

Tue Oct 23, 2012 10:33 pm

Still getting load of issues. 8 out of 10 transactions fail.

Pointless to upgrade if the problem is still there. and no one cares.

We are building a Radiusmanager radius server. It is almost ready. just a couple of last things to iron out but it looks superb!!

Can´t wait to switch over

Re: PayPal — bad http response

Tue Oct 30, 2012 12:03 pm

Re: PayPal — bad http response

Wed Nov 07, 2012 5:58 pm

From PayPal : «We will also drop support for non-SSL secured IPN postback (via port 80). You *must* post back to https://www.paypal.com/cgi-bin/webscr?c . y-validate over port 443 from now on.»

Seems PayPal changed their IPN call back method in September, which is when User Manager started to fail — quite likely when they moved everything to Akamai.

Octavio — do you have the support ticket number so I can send Mikrotik some more information on this change by PayPal as they may not read this post?

We have lost a lot of reputation on our Hotspots in Guernsey as every payment went through, but PayPal was no longer communicating with UM in the same way anymore and have now had to switch over to a «24/7 trial» setting on Hotspot as User Manager no longer works with PayPal.

Thanks once again, PayPal!!

Re: PayPal — bad http response

Wed Nov 07, 2012 10:07 pm

Nest
thank you for shedding some light on this.
We have had to monitor every transaction (keeping an eye on emails) to quickly manually fix each account and notify the clients as soon as possible.
Fortunately we lost only a few.

Rolling out Radiusmanager 4 on monday. cant wait. Highly recommended. Viktors support and speed in replying is priceless.

Re: PayPal — bad http response

Thu Nov 08, 2012 12:15 am

v-sat. We bought Radius Manager (v3) a couple of years back, but we were never able to get our billing method to work with it. We were assured again and again in emails it would do it (and Viktor IS very good at support) however despite all the assurances, it did not do what he told us it would. I believe this was a break down in understanding our requirement or a language barrier as like I said, his responses were fast but sadly, in the end, unhelpful. So we are now stuck with a system we have paid for and never used and we went back to using User Manager!

All we wanted to do, is what every other Hotspot in Europe I have ever used does. A client pays for say, «1 hour» and from the time they first login, the clock starts. If they don’t use it, they lose it! The problem we had was that Radmanager, as brilliant as it is (and we recommend and support it for any WISPS selling fixed connections), cannot cut someone off after they have been online or not after that 1hr. A voucher or account that has say 1hr should run out after 1hr, however what actually happens is that they can connect for 5 mins, switch off for a year and then they still have another 55mins left to go before they are cut off. In fact, if a client only uses it for 5 mins a day, they make their money go a long way. We want it so that once they first login, that time starts and just keeps on going until the time they bought runs out. Even if they are not using it.

The other problem was that if a client bought a day of time at 23:59, he only actually got 6 mins of online time as at 00:05, his account was promptly cut off as Rad Manager looked at the date and it as it was now 1 more day further on, it thinks that the account is now a day older and expires their account!

We don’t want that. User Manager understands our method of usage (as that is how every other Hotspot I have ever used works!) and supports it. Except of course, it no longer works at all with PayPal now.

Now, if someone can tell me if v4 of Radius manager can do this billing method (and give me service settings to demonstrate it on our own server we still have it running on!) we will stop using UM immediately as we need to get this sorted asap.

Источник

Mikrotik error bad http response

Mon Feb 11, 2019 4:32 pm

Hi,
I have the following Configuration:
VMware ESXi v6.7
installed version: CHR 6.43.8

update in winbox : system-packages-check for updates

then，ERROR message will display: “bad HTTP response”
what i have checked:
1,DNS,is ok!
2,firewall: disabled all firewall rules, NAT rules only left «srcnat-masquerade»

can anyone advise how to solve this issue_
Thanks!

Re: ERROR: bad HTTP response while trying to update

Wed Feb 13, 2019 11:10 pm

Re: ERROR: bad HTTP response while trying to update

Thu Feb 14, 2019 4:33 am

Re: ERROR: bad HTTP response while trying to update

Thu Feb 28, 2019 5:37 am

have try it , not work

Re: ERROR: bad HTTP response while trying to update

Thu Feb 28, 2019 8:02 am

«302 redirected» says everything — the request is redirected, exactly as I suspected.. I am not surprised that automatic download in RouterOS didn’t work and I don’t think it is caused by your device. More like something upstream.
this probably brings more questions than answers:
— why is it redirected?
— where does it go?

I can’t answer why it is happening but if you find out where it goes, it might point you in right direction.
If you are curious what is happening, you can set a sniffer, record those packets, save it in file, download to computer and open it in wireshark:

(enter those commands one by one, not together please)

Re: ERROR: bad HTTP response while trying to update

Mon Mar 04, 2019 6:53 pm

«302 redirected» says everything — the request is redirected, exactly as I suspected.. I am not surprised that automatic download in RouterOS didn’t work and I don’t think it is caused by your device. More like something upstream.
this probably brings more questions than answers:
— why is it redirected?
— where does it go?

I can’t answer why it is happening but if you find out where it goes, it might point you in right direction.
If you are curious what is happening, you can set a sniffer, record those packets, save it in file, download to computer and open it in wireshark:

(enter those commands one by one, not together please)

http302.png
If you don’t have wireshark (and you don’t want to install it), you can either view packets straight in RouterOS (but its complicated to find the right packet) or you can simply open the pcap file in notepad and look for line saying «Location: . » there should be only one in the whole file.

ISP blocked the Http GET request…（may be）

Источник

Проблема с обновлением MikroTik RouterOS на роутерах с 16MB FLASH

Недавно ребята из MikroTik накосячили (опять?) и мой любимый «hAP lite» перестал обновляться. С версии 6.45.1 на 6.45.2 не обновлялся, писал, что недостаточно места. Косяк заметили и в версии 6.45.3 для архитектуры SMIPS уменьшили размер пакета, выкинув из него «лишнее» (smips — reduced RouterOS main package size (disabled LTE modem, dot1x and SwOS support)). Теперь пакет скачивается, места ему хватает, но… После перезагрузки версия остаётся 6.45.1 а в логе видим сообщение «no enough space for upgrade». Факир был пьян и фокус не удался.

Окей, гугл, mikrotik no enough space for upgrade
На forum.mikrotik.com узнаём, что проблема давняя, первое упоминание аж в 2017 году по версии 6.40.4. Похоже в компании есть проблемы с тестированием, печально.
Находим рекомендацию использовать fix_space.npk, скачиваем, закидываем на роутер, перезагружаем его и… Мне не помогло.

Дальше, наконец-то, находим полезную статью. Вкратце:

• обновления ставятся пакетами
• по умолчанию пакеты наследуются от мета-пакета (в моём случае «routeros-smips»)
• удалить (деинсталлировать) наследованные пакеты нельзя, ведь информация о них содержится в мета-пакете
• при обновлении обновляется мета-пакет и его наследники, даже отключенные
• постоянная память роутера разделена на разделы — скрытый системный и доступный для пользователя
• для обновления нужный пакет/мета-пакет необходимо закинуть в пользовательский раздел и перезагрузиться
• если делать обновление из winbox, web-интерфейса или terminal, нужный мета-пакет автоматически скачивается в пользовательский раздел и роутер перезагружается
• при перезагрузке, если в пользовательском разделе есть пакеты, то из системного раздела удаляются все установленные пакеты и устанавливаются те, что находятся на пользовательском разделе, после чего они удаляются из пользовательского раздела

Из вышесказанного следует, что, если на пользовательский раздел закинуть только нужные пакеты и перезагрузиться, то мета-пакет со всеми наследниками удалится, поставятся только нужные пакеты и, за счёт удаления ненужных, высвободится немного места, так необходимого для последующих обновлений. Давайте проверим.

Роутер бюджетный, поэтому в основном используется дома либо в мелких офисах, значит вряд ли нам нужны пакты advanced-tools, hotspot, ipv6, mpls, routing. Подробнее о пакетах читайте на официальной wiki, выбирайте, какие вам нужны, а какие нет. Например на данном роутере ipv6 отключен, а вот дома я его использую. Будьте внимательны, если забыть поставить нужный пакет, то обновление удаленного роутера — к дальней поездке.

Как видим пользовательская раздел пуст, всего занято 8.5MB

При попытке обновления ругается на отсутствие места. На самом деле скриншот «нарисован», ругалось на версии 6.45.2, с версией 6.45.3 места хватает для загрузки, поэтому пришлось схитрить, но в данном случае мы просто эмулируем похожую ситуацию.

Качаем с офсайта Extra packages для нужной архитектуры, для SMIPS, так как проблема вроде только на ней. Распаковываем и закидываем нужные пакеты на пользовательский раздел. Перезагружаемся.

Вуаля! Обновление прошло успешно, мета-пакет со всеми наследниками удалён, установлены только нужные пакеты.

Пользовательский раздел пуст, всего занято 8MB, т.е. 0.5MB мы высвободили.

Будут ли теперь работать автоматические обновления? Будут. Для проверки, на другом роутере я обновил вручную до версии 6.45.2 а после автоматически обновил до 6.45.3

Ребятам из MikroTik хочется пожелать быть более внимательными, но кто не без греха.
_{с ошибками и замечаниями прошу в личку}

Источник

Проблема с обновлением MikroTik RouterOS на роутерах с 16MB FLASH

Недавно ребята из MikroTik накосячили (опять?) и мой любимый «hAP lite» перестал обновляться. С версии 6.45.1 на 6.45.2 не обновлялся, писал, что недостаточно места. Косяк заметили и в версии 6.45.3 для архитектуры SMIPS уменьшили размер пакета, выкинув из него «лишнее» (smips — reduced RouterOS main package size (disabled LTE modem, dot1x and SwOS support)). Теперь пакет скачивается, места ему хватает, но… После перезагрузки версия остаётся 6.45.1 а в логе видим сообщение «no enough space for upgrade». Факир был пьян и фокус не удался.

Окей, гугл, mikrotik no enough space for upgrade
На forum.mikrotik.com узнаём, что проблема давняя, первое упоминание аж в 2017 году по версии 6.40.4. Похоже в компании есть проблемы с тестированием, печально.
Находим рекомендацию использовать fix_space.npk, скачиваем, закидываем на роутер, перезагружаем его и… Мне не помогло.

Дальше, наконец-то, находим полезную статью. Вкратце:

• обновления ставятся пакетами
• по умолчанию пакеты наследуются от мета-пакета (в моём случае «routeros-smips»)
• удалить (деинсталлировать) наследованные пакеты нельзя, ведь информация о них содержится в мета-пакете
• при обновлении обновляется мета-пакет и его наследники, даже отключенные
• постоянная память роутера разделена на разделы — скрытый системный и доступный для пользователя
• для обновления нужный пакет/мета-пакет необходимо закинуть в пользовательский раздел и перезагрузиться
• если делать обновление из winbox, web-интерфейса или terminal, нужный мета-пакет автоматически скачивается в пользовательский раздел и роутер перезагружается
• при перезагрузке, если в пользовательском разделе есть пакеты, то из системного раздела удаляются все установленные пакеты и устанавливаются те, что находятся на пользовательском разделе, после чего они удаляются из пользовательского раздела

Из вышесказанного следует, что, если на пользовательский раздел закинуть только нужные пакеты и перезагрузиться, то мета-пакет со всеми наследниками удалится, поставятся только нужные пакеты и, за счёт удаления ненужных, высвободится немного места, так необходимого для последующих обновлений. Давайте проверим.

Роутер бюджетный, поэтому в основном используется дома либо в мелких офисах, значит вряд ли нам нужны пакты advanced-tools, hotspot, ipv6, mpls, routing. Подробнее о пакетах читайте на официальной wiki, выбирайте, какие вам нужны, а какие нет. Например на данном роутере ipv6 отключен, а вот дома я его использую. Будьте внимательны, если забыть поставить нужный пакет, то обновление удаленного роутера — к дальней поездке.

Как видим пользовательская раздел пуст, всего занято 8.5MB

При попытке обновления ругается на отсутствие места. На самом деле скриншот «нарисован», ругалось на версии 6.45.2, с версией 6.45.3 места хватает для загрузки, поэтому пришлось схитрить, но в данном случае мы просто эмулируем похожую ситуацию.

Качаем с офсайта Extra packages для нужной архитектуры, для SMIPS, так как проблема вроде только на ней. Распаковываем и закидываем нужные пакеты на пользовательский раздел. Перезагружаемся.

Вуаля! Обновление прошло успешно, мета-пакет со всеми наследниками удалён, установлены только нужные пакеты.

Пользовательский раздел пуст, всего занято 8MB, т.е. 0.5MB мы высвободили.

Будут ли теперь работать автоматические обновления? Будут. Для проверки, на другом роутере я обновил вручную до версии 6.45.2 а после автоматически обновил до 6.45.3

Ребятам из MikroTik хочется пожелать быть более внимательными, но кто не без греха.
_{с ошибками и замечаниями прошу в личку}

Источник

Исправление ошибок базовой конфигурации mikrotik

В прошлой статье https://www.1spla.ru/blog/nastroyka-interneta-na-mikrotik я рассказал как настроить на нашем новом роутере интернет, в этой статье я покажу что нужно сделать чтобы исправить некоторые проблемы стандартной конфигурации.

Сразу приведу список проблем, а потом пошагово разберём то, как эти проблемы устранять.

1. Пустой пароль администратора.
2. Открытый в интернет DNS-сервер (ваш микротик могут использовать для усиления DDoS-атак).
3. Открыты в интернет сервисы для управления микротиком.
4. После обновления прошивки микротик автоматически не обновляет загрузчик.

Итак, пойдём по порядку.

Пароль администратора задать совсем просто, для этого нужно зайти в меню System, подменю Users.

В открывшемся окне кликнуть правой клавишей мыши по пользователю admin и выбрать кнопку Password.

В открывшемся окне 2 раза вписываем новый пароль и нажимаем «OK».

Теперь можно закрыть DNS сервер от злоумышленников.

Вариантов это сделать есть два:

• Отключить удалённые запросы к DNS на микротик (IP-DNS, снять галку Allow Remote Requests), но делать мы так не будем, т.к. выдаём собственный DNS в локальную сеть.
• Закрыть доступ к DNS извне нашей локальной сети.

Для этого нам потребуется зайти в IP – Firewall.

Нажимаем на + и создаём ещё одно правило, запрещающее входящий трафик (Chain: input) по протоколу UDP (Protocol: udp) на 53й порт (Dst. Port: 53) интерфейса провайдера (In. Interface: ether1).

На вкладке Action выбираем действие drop.

Нажимаем «ОК» и перетаскиваем его мышкой на 2ю позицию, т.к. правила firewall применяются по порядку, сверху вниз, пока пакет не попадёт под условия одного из правил.

Ещё одна неприятная вещь закрыта.

Теперь займёмся лишними сервисами. Идём в меню IP – Services, тут мы видим все доступные в данный момент сервисы и порты, на которых они работают.

Кроме winbox нам другие сервисы в принципе не нужны, можно выделить их и нажать красный крест в верхней части окна, что отключит их.

При желании, можно кликнуть на сервис winbox и выполнить тонкую настройку данного сервиса (изменить порт, задать список ip-адресов или подсетей из которых к нему можно подключаться).

Итак, последний пункт нашей сегодняшней статьи – обновление загрузчика нашего оборудования.

Идём в пункт System – Routerboard.

Тут мы видим модель нашей железки, её серийный номер и версии загрузчика (заводская, текущая и та, на которую можно обновиться).

К сожалению, у меня не было под рукой оборудования с не обновлённым загрузчиком, поэтому просто скажу, что нужно нажать на кнопку Upgrade в правой части окна и через некоторое время просто перезагрузить роутер.

В следующей статье я расскажу, как включить и правильно настроить WiFi на нашем роутере.

Если вам нужна помощь в настройке оборудования или серверов, наши специалисты всегда готовы вам помочь.

Статью подготовил технический директор компании Первый Сервисный Провайдер Гавриш Артём.

Источник

srv8.vpn.zaborona.help

Оперативки он почти не занимает. Так и сделал. Скрипт создал список подсетей. Потом уже сам добавил правило маркировки трафика который идет к подсетям из етого списка, а затем в маршрутах весь маркированый трафик направил в тунель все заработало. Ну VK OK Yandex mail.ru так точно )))) Спасибо.
Может кому пригодится:
Создаем шедулер для обновления маршрутов раз в 3 дня.

/system scheduler
add interval=3d name=sync_uablacklist on-event="/system/script/run sync_uablacklist" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon start-date=dec/06/2021 start-time=05:00:00

Создем таблицу маршрутизации

/routing table
add fib name=zaborona

Правило маркировки трафика к IP адресам из списка.

/ip firewall mangle
add action=mark-routing chain=prerouting comment="Mark to zaborona" dst-address-list=uablacklist new-routing-mark=zaborona passthrough=yes

Маршрут маркированного трафика в интерфейс забороны.

/ip route
add comment="Route to zaborona" disabled=no distance=1 dst-address=0.0.0.0/0 gateway=zaborona pref-src="" routing-table=zaborona scope=30 suppress-hw-offload=yes target-scope=10

Ну и сам скрипт добавляем и сразу запускаем.

/system script
add dont-require-permissions=no name=sync_uablacklist owner=admin policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive,romon source=":local apiPrefix "https://uablacklist.
    net/subnets_mikrotik_"r
    n:local tempFile "uablacklist.txt"r
    n:local listName "uablacklist"r
    nr
    n/log info "removing existing '$listName'..."r
    n:put "removing existing '$listName'..."r
    n/ip firewall address-list remove [/ip firewall address-list find list=$listName]r
    nr
    n:local i 0r
    n:local isEnd falser
    n:do {r
    n    :local apiPath "$apiPrefix$i.txt"r
    n    /log info "fetching UA blacklist registry piece ($apiPath)..."r
    n    :put "fetching UA blacklist registry piece ($apiPath)..."r
    n    :local contentLen 0r
    n    :local content ""r
    n    :do {r
    n        /tool fetch url=$apiPath dst-path=$tempFiler
    n        :set content [/file get [/file find name=$tempFile] contents]r
    n        :set contentLen [:len $content]r
    n    } on-error={r
    n        /log info "no more pieces"; r
    n        :put "no more pieces"r
    n        :set isEnd truer
    n    }r
    n    :local lineEnd 0r
    n    :local line ""r
    n    :local lastEnd 0r
    n    :local company ""r
    n    :while ($lastEnd < $contentLen) do {r
    n        :set lineEnd [:find $content "\n" $lastEnd ]r
    n        :set line [:pick $content $lastEnd $lineEnd]r
    n        :set lastEnd ($lineEnd+1)r
    n        :local entry [:pick $line 0 ($lineEnd-1)]r
    n        :if ([:pick $line 0 1] != "#") do={r
    n            :if ([:len $entry ] > 0) do={r
    n                /log info "add '$entry' subnet of '$company' to list '$listName'...";r
    n                :put "add '$entry' subnet of '$company' to list '$listName'...";r
    n                :do {r
    n                    /ip firewall address-list add list=$listName address=$entry comment=$companyr
    n                } on-error={r
    n                    /log info "failed to add '$entry' subnet of '$company' to list '$listName', probably, it's duplication error."; r
    n                    :put "failed to add '$entry' subnet of '$company' to list '$listName', probably, it's duplication error."r
    n                }r
    n            }r
    n        } else={r
    n            :set company [:pick $line 2 ($lineEnd) ]r
    n        }r
    n    }r
    n    :set i (i+1)r
    n} while (!$isEnd)"

/system/script/run sync_uablacklist

P.S. Совсем забыл. У кого в фаерволе есть правило «fasttrac connection» его придется отключить, чтоб ето нормально работало. Так как fasttrac konnection позволяет трафику миновать большую часть фаервола, то маркировка трафика будет работать не корректно, заблокированные сайты будут открываться, но медленнее. Если же «fasttrac connection» все же нужен, тогда выход пока один, прописывать маршруты прямо в /ip routes к каждой подсети из списка забороны.