RouterOS 6.44 [stable] がリリースされました。

2019-02-26 18:40Blog

先週にはtestingブランチがrcに切り替わっており、公式もそろそろstableがリリースされるよ、とアナウンスしていましたが、本日stableブランチがアップデートされました。6.43から6.44へ切り替わり、更新内容も大規模なものとなっています。

更新内容は以下の通りです。

MAJOR CHANGES IN v6.44:
----------------------
!) cloud - added command "/system backup cloud" for backup storing on cloud (CLI only);
!) ipsec - added new "identity" menu with common peer distinguishers;
!) ipsec - removed "main-l2tp" exchange-mode, it is the same as "main" exchange-mode;
!) ipsec - removed "users" menu, XAuth user configuration is now handled by "identity" menu;
!) radius - initial implementation of RadSec (RADIUS communication over TLS);
!) speedtest - added "/tool speed-test" for ping latency, jitter, loss and TCP and UDP download, upload speed measurements (CLI only);
----------------------

Changes in this release:

*) bgp - properly update keepalive time after peer restart;
*) bridge - added option to monitor fast-forward status;
*) bridge - count routed FastPath packets between bridge ports under FastPath bridge statistics;
*) bridge - disable fast-forward when using SlowPath features;
*) bridge - fixed BOOTP packet forwarding when DHCP Snooping is enabled;
*) bridge - fixed DHCP Option 82 parsing when using DHCP Snooping;
*) bridge - fixed log message when hardware offloading is being enabled;
*) bridge - fixed packet forwarding when changing MSTI VLAN mappings;
*) bridge - fixed packet forwarding with enabled DHCP Snooping and Option 82;
*) bridge - fixed possible memory leak when using MSTP;
*) bridge - fixed system's identity change when DHCP Snooping is enabled (introduced in v6.43);
*) bridge - improved packet handling when hardware offloading is being disabled;
*) bridge - improved packet processing when bridge port changes states;
*) btest - added multithreading support for both UDP and TCP tests;
*) btest - added warning message when CPU load exceeds 90% (CLI only);
*) capsman - always accept connections from loopback address;
*) certificate - added support for multiple "Subject Alt. Names";
*) certificate - enabled RC2 cipher to allow P12 certificate decryption;
*) certificate - fixed certificate signing by SCEP client if multiple CA certificates are provided;
*) certificate - show digest algorithm used in signature;
*) chr - assign interface names based on underlying PCI device order on KVM;
*) chr - distribute NIC queue IRQ's evenly across all CPUs;
*) chr - fixed IRQ balancing when using more than 32 CPUs;
*) chr - improved system stability when insufficient resources are allocated to the guest;
*) cloud - added "ddns-update-interval" parameter;
*) cloud - do not reuse old UDP socket if routing changes are detected;
*) cloud - ignore "force-update" command if DDNS is disabled;
*) cloud - improved DDNS service disabling;
*) cloud - made address updating faster when new public address detected;
*) conntrack - added new "loose-tcp-tracking" parameter (equivalent to "nf_conntrack_tcp_loose" in netfilter);
*) console - renamed IP protocol 41 to "ipv6-encap";
*) console - updated copyright notice;
*) crs317 - fixed packet forwarding when LACP is used with hw=no;
*) crs3xx - fixed packet forwarding through SFP+ ports when using 100Mbps link speed;
*) crs3xx - improved fan control stability;
*) defconf - fixed configuration not generating properly on upgrade;
*) defconf - fixed default configuration loading on RB4011iGS+5HacQ2HnD-IN;
*) defconf - fixed IPv6 link-local address range in firewall rules;
*) dhcp - added "allow-dual-stack-queue" setting for IPv4/IPv6 DHCP servers to control dynamic lease/binding behaviour;
*) dhcp - properly load DHCP configuration if options are configured;
*) dhcpv4-server - added "parent-queue" parameter (CLI only);
*) dhcpv4-server - added "User-Name" attribute to RADIUS accounting messages;
*) dhcpv4-server - fixed service becoming unresponsive after interface leaves and enters the same bridge;
*) dhcpv4-server - use ARP for conflict detection;
*) dhcpv6-client - use default route distance also for unreachable route added by DHCPv6 client;
*) dhcpv6-server - allow to add DHCPv6 server with pool that does not exist;
*) dhcpv6-server - fixed missing gateway for binding's network if RADIUS authentication was used;
*) dhcpv6-server - improved DHCPv6 server stability when using "print" command;
*) dhcpv6-server - show "client-address" parameter for bindings;
*) discovery - detect proper slave interface on bounded interfaces;
*) discovery - fixed malformed neighbor information for routers that has incomplete IPv6 configuration;
*) discovery - send master port in "interface-name" parameter;
*) discovery - show neighbors on actual bridge port instead of bridge itself for LLDP;
*) e-mail - added info log message when e-mail is sent successfully;
*) ethernet - added "tx-rx-1024-max" counter to Ethernet stats;
*) ethernet - fixed IPv4 and IPv6 packet forwarding on IPQ4018 devices;
*) ethernet - fixed linking issues on wAP ac, RB750Gr2 and Metal 52 ac (introduced in v6.43rc52);
*) ethernet - fixed packet forwarding when SFP interface is disabled on hEX S;
*) ethernet - fixed VLAN1 forwarding on RB1100AHx4 and RB4011 devices;
*) ethernet - improved per core ethernet traffic classificator on mmips devices;
*) export - fixed "silent-boot" compact export;
*) fetch - added "http-header-field" parameter;
*) fetch - added option to specify multiple headers under "http-header-field", including content type;
*) fetch - fixed "without-paging" option;
*) fetch - improved file downloading to slow memory;
*) fetch - improved stability when using HTTP mode;
*) fetch - removed "http-content-type" parameter;
*) gps - increase precision for dd format;
*) gps - moved "coordinate-format" from "monitor" command to "set" parameter;
*) health - improved fan control stability on CRS328-24P-4S+RM;
*) hotspot - added "https-redirect" under server profiles;
*) hotspot - added per-user NAT rule generation based on "incoming-filter" and "outgoing-filter" parameters;
*) ike1 - do not allow using RSA-key and RSA-signature authentication methods simultaneously on single peer;
*) ike1 - fixed memory leak;
*) ike2 - added option to specify certificate chain;
*) ike2 - added peer identity validation for RSA auth (disabled after upgrade);
*) ike2 - allow to match responder peer by "my-id=fqdn" field;
*) ike2 - fixed local address lookup when initiating new connection;
*) ike2 - improved subsequent phase 2 initialization when no childs exist;
*) ike2 - properly handle certificates with empty "Subject";
*) ike2 - retry RSA signature validation with deduced digest from certificate;
*) ike2 - send split networks over DHCP (option 249) to Windows initiators if DHCP Inform is received;
*) ike2 - show weak pre-shared-key warning;
*) interface - added "pwr-line" interface support (more information will follow in next newsletter);
*) ipsec - added account log message when user is successfully authenticated;
*) ipsec - added basic pre-shared-key strength checks;
*) ipsec - added new "remote-id" peer matcher;
*) ipsec - allow to specify single address instead of IP pool under "mode-config";
*) ipsec - fixed active connection killing when changing peer configuration;
*) ipsec - fixed all policies not getting installed after startup (introduced in v6.43.8);
*) ipsec - fixed stability issues after changing peer configuration (introduced in v6.43);
*) ipsec - hide empty prefixes on "peer" menu;
*) ipsec - improved invalid policy handling when a valid policy is uninstalled;
*) ipsec - made dynamic "src-nat" rule more specific;
*) ipsec - made peers autosort themselves based on reachability status;
*) ipsec - moved "profile" menu outside "peer" menu;
*) ipsec - properly detect AES-NI extension as hardware AEAD;
*) ipsec - removed limitation that allowed only single "auth-method" with the same "exchange-mode" as responder;
*) ipsec - require write policy for key generation;
*) kidcontrol - added IPv6 support;
*) kidcontrol - added "reset-counters" command for "device" menu (CLI only);
*) kidcontrol - added statistics web interface for kids (http://router.lan/kid-control);
*) kidcontrol - added "tur-fri", "tur-mon", "tur-sat", "tur-sun", "tur-thu", "tur-tue", "tur-wed" parameters;
*) kidcontrol - dynamically discover devices from DNS activity;
*) kidcontrol - fixed validation checks for time intervals;
*) kidcontrol - properly detect time zone changes;
*) kidcontrol - use "/128" prefix-length for IPv6 addresses;
*) l2tp - fixed IPsec secret not being updated when "ipsec-secret" is changed under L2TP client configuration;
*) lcd - made "pin" parameter sensitive;
*) led - fixed default LED configuration for RBSXTsq-60ad;
*) led - fixed default LED configuration for wAP 60G AP devices;
*) led - fixed PWR-LINE AP Ethernet LED polarity ("/system routerboard upgrade" required);
*) lldp - fixed missing capabilities fields on some devices;
*) lte - added additional ID support for Novatel USB730L modem;
*) lte - added "cell-monitor" command for R11e-LTE international modem (CLI only);
*) lte - added "ecno" field for "info" command;
*) lte - added "firmware-upgrade" command for R11e-LTE international modems (CLI only);
*) lte - added initial support for multiple APN for R11e-4G (new modem firmware required);
*) lte - added initial support for Telit LN940;
*) lte - added multiple APN support for R11e-4G;
*) lte - added option to lock the LTE operator;
*) lte - added support for JioFi JMR1040 modem;
*) lte - fixed connection issue when LTE modem was de-registered from network for more than 1 minute;
*) lte - fixed DHCP IP acquire (introduced in v6.43.7);
*) lte - fixed DHCP relay packet forwarding when in passthrough mode;
*) lte - fixed IPv6 activation for R11e-LTE-US modems;
*) lte - fixed Jaton/SQN modems preventing router from booting properly;
*) lte - fixed LTE interface not working properly after reboot on RBSXTLTE3-7;
*) lte - fixed missing running (R) flag for Jaton LTE modems;
*) lte - fixed passthrough DHCP address forward when other address is acquired from operator;
*) lte - fixed reported "rsrq" precision (introduced in v6.43.8);
*) lte - improved compatibility for Alt38xx modems;
*) lte - improved SIM7600 initialization after reset;
*) lte - improved SimCom 7100e support;
*) lte - query "cfun" on initialization;
*) lte - require write policy for at-chat;
*) lte - update firmware version information after R11e-LTE/R11e-4G firmware upgrade;
*) netinstall - do not show kernel failure critical messages in the log after fresh install;
*) ntp-client - fixed "dst-active" and "gmt-offset" being updated after synchronization with server;
*) port - improved "remote-serial" TCP performance in RAW mode;
*) ppp - added "at-chat" command;
*) ppp - fixed dynamic route creation towards VPN server when "add-default-route" is used;
*) profiler - classify kernel crypto processing as "encrypting";
*) profile - removed obsolete "file-name" parameter;
*) proxy - removed port list size limit;
*) radius - implemented Proxy-State attribute handling in CoA and disconnect requests;
*) rb3011 - implemented multiple engine IPsec hardware acceleration support;
*) rb4011 - fixed SFP+ interface full duplex and speed parameter behavior;
*) rb4011 - improved SFP+ interface linking to 1Gbps;
*) rbm33g - improved stability when used with some USB devices;
*) romon - improved reliability when processing RoMON packets on CHR;
*) routerboard - removed "RB" prefix from PWR-LINE AP devices;
*) routerboard - require at least 10 second interval between "reformat-hold-button" and "max-reformat-hold-button";
*) smb - added commenting option for SMB users (CLI only);
*) smb - fixed macOS clients not showing share contents;
*) smb - fixed Windows 10 clients not able to establish connection to share;
*) sniffer - save packet capture in "802.11" type when sniffing on w60g interface in "sniff" mode;
*) snmp - added "dot1qPortVlanTable" and "dot1dBasePortTable" OIDs;
*) snmp - changed fan speed value type to Gauge32;
*) snmp - fixed "rsrq" reported precision;
*) snmp - fixed w60g station table;
*) snmp - removed "rx-sector" ("Wl60gRxSector") value;
*) snmp - report bridge ifSpeed as "0";
*) snmp - report ifSpeed 0 for sub-layer interfaces;
*) ssh - added "allow-none-crypto" parameter to disable "none" encryption usage (CLI only);
*) ssh - added error log message when key exchange fails;
*) ssh - close active SSH connections before IPsec connections on shutdown;
*) ssh - fixed public key format compatibility with RFC4716;
*) supout - fixed "poe-out" output not showing all interfaces;
*) supout - fixed Profile output on single core devices;
*) switch - added comment field to switch ACL rules;
*) switch - fixed ACL rules on IPQ4018 devices;
*) system - accept only valid path for "log-file" parameter in "port" menu;
*) system - removed obsolete "/driver" command;
*) tr069-client - added "check-certificate" parameter to allow communication without certificates;
*) tr069-client - added "connection-request-port" parameter (CLI only);
*) tr069-client - added support for InformParameter object;
*) tr069-client - fixed certificate verification for certificates with IP address;
*) tr069-client - fixed HTTP cookie getting duplicated with the same key;
*) tr069-client - increased reported "rsrq" precision;
*) traceroute - improved stability when sending large ping amounts;
*) traffic-flow - reduced minimal value of "active-flow-timeout" parameter to 1s;
*) tunnel - properly clear dynamic IPsec configuration when removing/disabling EoIP with DNS as "remote-address";
*) upgrade - made security package depend on DHCP package;
*) usb - improved power-reset error message when no bus specified on CCR1072-8G-1S+;
*) usb - improved USB device powering on startup for hAP ac^2 devices;
*) usb - increased default power-reset timeout to 5 seconds;
*) userman - added first and last name fields for signup form;
*) userman - show redirect location in error messages;
*) user - require "write" permissions for LTE firmware update;
*) vrrp - made "password" parameter sensitive;
*) w60g - added "10s-average-rssi" parameter to align mode (CLI only);
*) w60g - added align mode "/interface w60g align" (CLI only);
*) w60g - fixed scan in bridge mode;
*) w60g - improved PtMP performance;
*) w60g - improved reconnection detection;
*) w60g - improved "tx-packet-error-rate" reading;
*) w60g - renamed disconnection message when license level did not allow more connected clients;
*) w60g - renamed "frequency-list" to "scan-list";
*) watchdog - allow specifying DNS name for "send-smtp-server" parameter;
*) webfig - improved file handling;
*) winbox - added 4th chain selection for "HT TX chains" and "HT RX chains" under "CAPsMAN/CAP Interface/Wireless" tab;
*) winbox - added "allow-dual-stack-queue" parameter in "IP/DHCP Server" and "IPv6/DHCP Server" menus;
*) winbox - added "challenge-password" field when signing certificate with SCEP;
*) winbox - added "conflict-detection" parameter in "IP/DHCP Server" menu;
*) winbox - added "coordinate-format" parameter in LTE interface settings;
*) winbox - added "radio-name" setting to "CAPsMAN/CAP Interface/General" tab;
*) winbox - added "secondary-channel" setting to "CAPsMAN/CAP Interface/Channel" tab;
*) winbox - added src/dst address and in/out interface list columns to default firewall menu view;
*) winbox - added support for dynamic devices in "IP/Kid Control/Devices" tab;
*) winbox - allow setting "network-mode" to "auto" under LTE interface settings;
*) winbox - allow specifying interface lists in "CAPsMAN/Access List" menu;
*) winbox - fixed "IPv6/Firewall" "Connection limit" parameter not allowing complete IPv6 prefix lengths;
*) winbox - fixed L2MTU parameter setting on "W60G" type interfaces;
*) winbox - fixed "LCD" menu not shown on RB2011UiAS-2HnD;
*) winbox - fixed missing w60g interface status values;
*) winbox - improved file handling;
*) winbox - moved "Too Long" statistics counter to Ethernet "Rx Stats" tab;
*) winbox - organized wireless parameters between simple and advanced modes;
*) winbox - renamed "Default AP Tx Rate" to "Default AP Tx Limit";
*) winbox - renamed "Default Client Tx Rate" to "Default Client Tx Limit";
*) winbox - show "R" flag under "IPv6/DHCP Server/Bindings" tab;
*) winbox - show "System/RouterBOARD/Mode Button" on devices that have such feature;
*) winbox - show "W60G" wireless tab on wAP 60G AP;
*) wireless - added new "installation" parameter to specify router's location;
*) wireless - improved AR5212 response to incoming ACK frames;
*) wireless - improved connection stability for new model Apple devices;
*) wireless - improved NV2 performance for all ARM devices;
*) wireless - improved signal strength at low TX power on LHG 5 ac, LHG 5 ac XL and LDF 5 ac ("/system routerboard upgrade" required);
*) wireless - improved system stability for all ARM devices with wireless;
*) wireless - improved system stability for all devices with 802.11ac wireless;
*) wireless - improved system stability when scanning for other networks;
*) wireless - removed G/N support for 2484MHz in "japan" regulatory domain;
*) wireless - report last seen IP address in RADIUS accounting messages;
*) wireless - show "installation" parameter when printing configuration;

changelogに記載された更新内容は234項目になります。最近のRouterOSのアップデート内容としては、かなりの大型になります。

  • bridgeインターフェースについては、DHCP snooping周りの動作の改善
  • パケットフォワーディング周りの動作改善
  • btestで、CPUのマルチスレッド動作への対応
  • CAPsMANのloopbackアドレスからのアクセスが可能に
  • 認証の複数のsubject、Alt. Nameへの対応の追加など
  • CHR(Cloud Hosted Router)の、NICのIRQバランスの対応および動作改善
  • cloud機能のいくつかのパラメータの追加、強制アップデート機能の追加
  • conntrackにおける`loose-tcp-trackingの追加。(netfilterにおける、”nf_conntrack_tcp_loose“のようなもの)
  • copyright noticeの修正
  • CRS3xxシリーズのSFP+ポートでの100MBpsリンク時のパケットフォワーディング動作の改善、ファン制御動作の改善
  • デフォルト設定の修正
  • DHCPの”allow-dual-stack-queue”の追加
    • DHCPv4では”parent-queue”、”User-Name”の追加
    • ARPコンフリクトの検出機能の追加
    • 追加された到達不能経路に対してもデフォルトの経路を使用
    • 存在しないプールでもDHCPv6サーバーを追加することを許可
    • RADIUS認証を使用している場合のバインディングのネットワークに欠けているゲートウェイを修正
    • “print”コマンド使用時のDHCPv6サーバーの安定性を改善
    • バインディング用の “client-address”パラメータを表示
  • Discoveryにおける、制限されたインタフェース上で適切なスレーブインタフェースを検出
    • 不完全なIPv6設定を持つルーターのための不正な形式の隣接情報の修正
    • “interface-name”パラメータで送信するマスターポートを出力
    • LLDP用のブリッジ自体ではなく、実際のブリッジポートでneighborを表示
  • イーサネット統計に “tx-rx-1024-max“カウンタを追加
  • IPQ4018デバイスでの固定IPv4およびIPv6パケット転送の修正
  • hAP ac、RB750Gr2、Metal 52 ac(v6.43rc52で導入)のリンク問題を修正
  • SFPインタフェースがhEX Sで無効になっているときのパケット転送を修正
  • RB1100AHx4およびRB4011デバイス上の固定VLAN1転送の修正
  • mmipsデバイスのコアあたりのイーサネットトラフィック分類子が改善
  • Fetch機能の以下の機能を追加修正
    • “http-header-field”パラメータを追加
    • “http-header-field”の下にコンテンツタイプを含む複数のヘッダを指定するオプションを追加
    • 「ページングなし」オプションを修正
    • 遅いメモリへのファイルのダウンロードを改善
    • HTTPモード使用時の安定性が向上
    • “http-content-type”パラメータを削除
  • GPS機能について、ddフォーマットの精度向上
    •  「座標形式」を「モニタ」コマンドから「設定」パラメータに移動
  • CRS328-24P-4S+RMのファン制御安定性の向上
  • hotspot機能において、サーバープロファイルの下に “https-redirect”を追加
    • “incoming-filter”と “outgoing-filter”パラメータに基づくユーザごとのNATルール生成を追加
  • IKE/IPsec機能について、以下の機能の追加及び修正
    • *)ike1 – 単一のピアでRSAキーとRSA署名の認証方法を同時に使用することを許可しないように
    • *)ike1 – メモリリークが修正
    • *)ike2 – 証明書チェーンを指定するためのオプションが追加
    • *)ike2 – RSA認証用のピアID検証を追加(アップグレード後は無効)
    • *)ike2 – “my-id=fqdn“フィールドでレスポンダピアを一致させることができるように
    • *)ike2 – 新しい接続を開始するときの固定ローカルアドレスを検索
    • *)ike2 – 子が存在しない場合の後続のフェーズ2初期化を改善
    • *)ike2 – 空の “Subject”を持つ証明書を適切に処理するように
    • *)ike2 – 証明書から推定されたダイジェストを使ってRSA署名検証を再試行するようにした
    • *)ike2 – DHCP Informを受信した場合、DHCPを介してスプリットネットワークをWindowsイニシエータに送信するように(オプション249)
    • *)ike2 – 弱い事前共有キーに関する警告を表示するように
    • *)interface – “pwr-line”インタフェースのサポートを追加(詳細は次のニュースレターで説明されるとのこと)
    • *)ipsec – ユーザーの認証に成功したときのアカウントログメッセージ
    • *)ipsec – 基本的な事前共有キー強度チェックを追加
    • *)ipsec – 新しい “remote-id”ピアマッチャーを追加
    • *)ipsec – “mode-config”でIPプールの代わりに単一のアドレスを指定することができるように
    • *)ipsec – ピア設定を変更したときにアクティブ接続が強制終了する問題を修正
    • *)ipsec – 起動後にすべてのポリシーがインストールされない問題を修正(v6.43.8で導入)
    • *)ipsec – ピア設定変更後の安定性の問題を修正(v6.43で導入)
    • *)ipsec – “peer”メニューの空の接頭辞を隠すように
    • *)ipsec – 有効なポリシーがアンインストールされたときの無効なポリシー処理を改善
    • *)ipsec – 動的な “src-nat”ルールをより具体的に
    • *)ipsec – 到達可能性ステータスに基づいて、ピア同士が自分自身を自動ソートするように
    • *)ipsec – “profile”メニューを “peer”メニューの外側に移動
    • *)ipsec – AES-NI拡張をハードウェアAEADとして正しく検出するようになった
    • *)ipsec – レスポンダと同じ “exchange-mode“を持つ単一の “auth-method“のみを許可する制限を削除
    • *)ipsec – 鍵生成のための書き込み方針を要求するように
  • kidcontrolについて以下の機能修正および追加
    • IPv6サポートを追加
    • “device”メニューに “reset-counters”コマンドを追加(CLIのみ)
    • 子供用の統計ウェブインターフェースを追加(http://router.lan/kid-control)
    • tur-fri“、 “tur-mon“、 “tur-sat“、 “tur-sun“、 “tur-thu“、 “tur-tue“、 “tur-wed“パラメータを追加
    • DNSの活動から動的にデバイスを発見するように
    • 時間間隔の検証チェックを修正
    • タイムゾーンの変更を正しく検出するように
    • IPv6アドレスに “/128“プレフィックス長を使用するに
  • L2TPクライアント設定で “ipsec-secret”が変更されたときにIPsecシークレットが更新されない問題を修正
  • LCDにおいて、”pin”パラメータをセンシティブに
  • RBSXTsq-60adのデフォルトのLED設定を修正
  • wAP 60G APデバイスのデフォルトのLED設定を修正
  • PWR-LINE APイーサネットLEDの極性の修正( “/system routerboard upgrade“が必要)
  • LLDP機能において、一部のデバイスで欠けている機能フィールドを修正
  • LTE機能において、以下の機能の修正と追加
    • Novatel USB730Lモデム用の追加IDサポートを追加
    • R11e-LTE国際モデム用の「cell-monitor」コマンドを追加(CLIのみ)
    • “info”コマンドに “ecno”フィールドを追加
    • R11e-LTE国際モデム用の「firmware-upgrade」コマンドを追加(CLIのみ)
    • R11e-4GのマルチAPNの初期サポートを追加(新しいモデムファームウェアが必要)
    • Telit LN940の初期サポートを追加
    • R11e-4Gに複数のAPNサポートを追加
    • LTEオペレータをロックするオプションを追加
    •  JioFi JMR1040モデムのサポートを追加
    • LTEモデムが1分以上ネットワークから登録解除されたときの接続問題を修正
    • DHCP IPアドレスの取得動作の修正(v6.43.7で導入);
    • パススルーモード時のDHCPリレーパケット転送を修正
    • R11e-LTE-USモデム用の固定IPv6アクティベーション
    • ルーターの正常な起動を妨げるJaton / SQNモデムを修正
    • RBSXTLTE3-7で再起動後にLTEインターフェイスが正しく動作しない問題を修正
    • Jaton LTEモデムのrunning(R)フラグの欠落を修正
    • 他のアドレスがオペレータから取得されたときの固定パススル​​ーDHCPアドレス転送
    • 報告された “rsrq“の精度(v6.43.8で導入された)を修正
    • Alt38xxモデムとの互換性が向上
    • リセット後のSIM7600の初期化を改善
    • SimCom 7100eサポートの改善
    • 初期化時に “cfun“を問い合わせるように
    • チャット時に書き込みポリシーが必要に
    • R11e-LTE / R11e-4Gファームウェアのアップグレード後にファームウェアバージョン情報を更新
  • *)netinstall – 新規インストール後にログにカーネル障害クリティカルメッセージを表示しないように
  • *)ntp-client – サーバと同期した後に更新される “dst-active“と “gmt-offset“を修正
  • *)port – RAWモードでの “リモートシリアル” TCPパフォーマンスの向上
  • *)ppp – “at-chat“コマンドを追加
  • *)ppp – “add-default-route”が使用されているときのVPNサーバーへの動的ルート作成を修正
  • *)profiler – カーネル暗号処理を “暗号化”として分類するように
  • *)profile – 古い “file-name”パラメータを削除
  • *)proxy – 削除されたポートリストのサイズ制限
  • *)radius – CoAおよび切断要求にProxy-State属性処理を実装
  • *)rb3011 – マルチエンジンIPsecハードウェアアクセラレーションサポートを実装
  • *)rb4011 – SFP+インターフェイスの全二重および速度パラメータの動作を修正
  • *)rb4011 – 1Gbpsへのリンクを改善したSFP+インターフェース
  • *)rbm33g – 一部のUSBデバイスと併用したときの安定性が向上
  • *)romon – CHRでRoMONパケットを処理する際の信頼性が向上
  • PWR-LINE APデバイスから「RB」プレフィックスを削除
  • reformat-h​​old-button“と “max-reformat-h​​old-button“の動作の間に最低10秒の間隔が必要に
  • SMBユーザーのためのコメントオプションを追加(CLIのみ)
  • *)smb – 共有コンテンツが表示されないmacOSクライアントを修正
  • *)smb – 共有する接続を確立できないWindows 10クライアントを修正
  • *)スニファ – 「スニフ」モードでw60gインタフェースをスニファする場合、パケットキャプチャを「802.11」タイプで保存するように
  • SNMP機能について以下の機能修正および追加
    •  “dot1qPortVlanTable“と “dot1dBasePortTable” OIDを追加
    • ファン速度値のタイプをGauge32に変更
    • rsrq“で精度が報告される問題を修正
    • w60gステーションテーブルの修正
    • rx-sector“( “Wl60gRxSector“)の値を削除
    • ブリッジifSpeedを “0“として報告するように
    • サブレイヤインタフェースのifSpeed 0を報告するように
  • *)ssh – “none”暗号化の使用を無効にする “allow-none-crypto“パラメータを追加(CLIのみ)
  • *)ssh – 鍵交換が失敗したときのエラーログメッセージを追加
  • *)ssh – シャットダウン時にIPsec接続の前にアクティブなSSH接続を閉じるように
  • *)ssh – RFC4716との公開鍵フォーマットの互換性を修正
  • *)supout – すべてのインタフェースが表示されていない「poe-out」出力を修正
  • *)supout – シングルコアデバイス上のプロファイル出力の修正
  • *)switch
    • ACLルールを切り替えるためのコメントフィールドを追加
    • IPQ4018デバイス上のACLルールの修正
  • *)system – “port”メニューの “log-file”パラメータに有効なパスのみを受け入れるように
  • *)system – 廃止された ” /driver “コマンドを削除
  • *)tr069-client
    • 証明書なしの通信を可能にするために “check-certificate”パラメータを追加
    • “connection-request-port”パラメータを追加(CLIのみ)
    • InformParameterオブジェクトのサポートを追加
    • IPアドレスを持つ証明書のための証明書検証動作を修正
    • 同じキーでHTTPクッキーが重複することを修正
    • 報告された “rsrq“精度の向上
  • *)traceroute 大量のpingを送信する際の安定性が向上
  • *)traffic-flow – “active-flow-timeout”パラメータの最小値を1に
  • *)tunnel – 「remote-address」としてDNSを使用してEoIPを削除または無効にするときに、動的IPsec設定を正しくクリアするように
  • securityパッケージはDHCPパッケージに依存するように
  • CCR1072-8G-1S+でバスが指定されていない場合のパワーリセットエラーメッセージを改善
  • hAP ac^2の起動時のUSBデバイスの電源投入を改善
  • デフォルトのパワーリセットタイムアウトを5秒に
  • *)userman –
    • サインアップフォームの姓名フィールドを追加
    • エラーメッセージにリダイレクトの場所を表示
  • LTEファームウェアの更新に「書き込み」権限が必要に
  • *)vrrp – “password”パラメータを機密に
  • *)w60g –
    • align modeに “10s-average-rssi“パラメータを追加(CLIのみ)
    • align mode “/interface w60g align“を追加(CLIのみ)
    •  ブリッジモードでのスキャン動作の修正
    • PtMPの性能が向上
    • 再接続検出を改善
    • tx-packet-error-rate“の読みを改善
    • ライセンスレベル以上の接続されたクライアントを許可しなかった場合の切断メッセージの名前を変更
    • “frequency-list”を “scan-list”に改名
  • *)watchdog – “send-smtp-server”パラメータにDNS名を指定することを許可
  • *)webfig – ファイル処理を改善
  • *)winbox
    • CAPsMAN / CAP Interface / Wireless“タブの下に “HT TX chain”と “HT RX chains”の4番目のチェインを追加
    • IP / DHCP Server"と "IPv6 / DHCP Server“メニューに “allow-dual-stack-queue”パラメータを追加
    • SCEPで証明書に署名するときに “challenge-password”フィールドを追加
    • IP / DHCP Server“メニューに “conflict-detection”パラメータを追加
    • LTEインターフェース設定に「座標フォーマット」パラメータを追加
    • CAPsMAN / CAP Interface / General“タブに “radio-name”設定を追加
    • CAPsMAN / CAP Interface / Channel“タブに “secondary-channel”設定を追加
    • デフォルトのfirewallメニュービューに、src / dstアドレスとin / outインタフェースリストの列を追加
    • IP / Kid Control / Devices“タブに動的デバイスのサポートを追加
    • LTEインターフェース設定で “network-mode”を “auto”に設定できるように
    • CAPsMAN / Access List“メニューにインターフェイスリストを指定することができるように
    • 完全なIPv6プレフィックス長を許可していない「IPv6 /ファイアウォール」「接続制限」パラメータを修正
    • “W60G”タイプのインターフェイスのL2MTUパラメータ設定を修正
    • RB2011UiAS-2HnDで”LCD”メニューが表示されない問題を修正
    • 欠落していた、w60gインターフェースステータス値を修正
    • ファイル処理を改善しました
    • “Too Long”統計カウンターをイーサネットの “Rx Stats”タブに移動
    • “Default AP Tx Rate”を “Default AP Tx Limit”に変更
    • “Default Client Tx Rate”を “Default Client Tx Limit”に変更
    • IPv6 / DHCP Server / Bindings“タブの下に “R”フラグを表示
    • 該当する機能を持っているデバイスで “System / RouterBOARD / Mode Button“を表示するように
    • WAP 60G APに「W60G」ワイヤレスタブを表示
  • *)wireless
    • ルーターの位置を指定するための新しい “installation”パラメータが追加
    • incoming ACKフレームに対するAR5212の応答を改善
    • 新モデルのAppleデバイスの接続安定性が向上
    • すべてのARMデバイスでNV2のパフォーマンスが向上
    • LHG 5 ac、LHG 5 ac XLおよびLDF 5 acでの低TX電力での信号強度の向上(「/system routerboard upgrade」が必要)
    • ワイヤレスを搭載したすべてのARMデバイスのシステム安定性が向上
    • 802.11acワイヤレスを使用するすべてのデバイスのシステム安定性が向上
    • 他のネットワークをスキャンする際のシステムの安定性が向上
    • “japan”規制区域における2484MHzのG / Nサポートの削除
    • RADIUSアカウンティングメッセージで最後に見たIPアドレスを報告
    •  設定を印刷するときに “installation”パラメータを表示

MikroTik Routers and Wireless – Software

とにかく更新内容が膨大です。ただし、無線LANについてはほぼすべてのRotuerboard製品において安定性の向上が図られているほか、ワイヤード製品についても、IPsecを中心とした安定性、動作の向上が図られているため、アップデートを検討する価値は十分にあると思います。

ただし、機能面に大きくアップデートが入っているため、いつも以上に事前の動作検証を行うようにしてください。筆者環境のmmipsやmipsbe、ARMなRouterboard製品に6.44を適用した限りでは、今のところ問題は発生していません。ただし、IPsecや他の機能についてはまだ検証が出来ていないため、皆さんの環境では問題が発生する可能性はあると思います。

別記事としてご連絡するつもりですが、少し前にDUDEクライアントに関連したセキュリティ問題が発生しているようなので、6.44またはlong-termなどへアップグレードすることを検討してください。