MikroTik Backup-Bootloader aktualisieren

Wie man den Backup-Bootloader auf MikroTik-Geräten aktualisiert, um Protected RouterBOOT zu nutzen

MikroTik-Geräte haben zwei Bootloader namens RouterBOOT, die für den Systemstart verantwortlich sind und das eigentliche Betriebssystem laden. Einer davon lässt sich problemlos selbst updaten, der zweite dient ausschließlich als Backup für den Fall der Fälle und kann daher eigentlich nicht aktualisiert werden – bis auf einen Sonderfall namens Protected RouterBOOT. Wann man dieses Update einspielt, das zeigt dieser Beitrag.

Wie schon in Teil 1 meiner Serie gezeigt, lässt sich der Bootloader der MikroTik-Geräte relativ problemlos aktualisieren. Die benötigte Firmware wird mit der jeweiligen RouterOS-Version geliefert und kann unkompliziert eingespielt werden. Damit bei einem fehlerhaften Update nicht gleich das ganze Gerät unbrauchbar gemacht wird, gibt es einen Backup-Bootloader, der ausdrücklich nicht mit aktualisiert wird – so kann über das rechtzeitige Drücken des Reset-Schalters vor Einschalten des Geräts auf dieses Fallback gewechselt werden, um das eigentliche Update erneut zu versuchen.

RouterBOOT-Versionsangabe in der Weboberfläche
RouterBOOT-Versionsangabe in der Weboberfläche

Einführung

Vor einiger Zeit hat MikroTik eine Funktion namens Protected RouterBOOT eingeführt. Durch sie kann im Bootloader der Systemstart abgesichert werden, um einem Angreifer mit physikalischem Zugriff auf das Gerät den Zugang zu den Daten zu erschweren. Das klappt allerdings nur dann, wenn kein Hintertürchen in Form eines zu alten Backup-Bootloaders ohne diese Schutzfunktion existiert. Aus genau diesem Grund lässt sich dieser auf alten Geräten ausnahmsweise doch aktualisieren.

Bevor es weitergeht, ist ein deutliches Wort der Warnung angebracht: Das Update des Backup-Bootloaders geschieht ausdrücklich AUF EIGENE GEFAHR und sollte NUR dann durchgeführt werden, wenn du

  1. weißt, was du tust, und zudem
  2. Protected RouterBOOT auch WIRKLICH benötigst, und zudem
  3. einen Backup-Bootloader einsetzt, der kleiner als Version 3.24 ist

Ansonsten rate ich GANZ DRINGEND davon ab, das Risiko einzugehen! Man kann sich sein Gerät damit auf Dauer unbrauchbar machen. Ich übernehme KEINERLEI Garantie oder Gewähr für die nachstehende Anleitung!

Der Backup-Bootloader wird im normalen Betrieb NICHT benötigt, eine höhere Version bringt dir zunächst also ÜBERHAUPT NICHTS – sie macht AUSSCHLIESSLICH im Zusammenspiel mit Protected RouterBOOT Sinn.

Nochmal: Mach nur dann weiter, wenn du WIRKLICH weißt, was du tust, UND ZUDEM bereit bist, das volle Risiko selbst zu tragen!

Basissystem aktualisieren

Zunächst solltest du dein System auf die aktuelle Version updaten. Das geht mit

/system package update check-for-updates
/system package update download
/system reboot

Danach aktualisierst du deinen eigentlichen Bootloader auf die aktuelle Version, sofern nötig. Mittels

/system routerboard print

findest du heraus, ob es ein Update gibt (current-firmware und upgrade-firmware) und spielst das dann bei Bedarf mit

/system routerboard upgrade
/system reboot

ein. Dein System sollte jetzt über eine aktuelle RouterOS-Version samt aktuellem RouterBOOT-Bootloader verfügen.

Systemvoraussetzungen prüfen

Ein Update des Backup-Bootloaders ist nur dann erforderlich, wenn dessen Version kleiner als 3.24 ist. Das Update des Backup-Bootloaders ist nicht für neuere Systeme gedacht und es darf auch nicht dafür verwendet werden, um den Backup-Bootloader einfach nur aktuell zu halten. Wie oben bereits geschrieben, bringt das schlicht keinen Vorteil.

Die Version des Backup-Bootloaders erfährst du mittels

/system routerboard print

Dort gibt es eine Zeile ähnlich

factory-firmware: 3.22

die in diesem Fall besagt, dass der Backup-Bootloader Version 3.22 trägt. Da Version 3.22 kleiner als Version 3.24 ist – die minimale Version für das Funktionieren von Protected RouterBOOT – kann ein Update in Erwägung gezogen werden. Steht hier jedoch eine Version größer oder gleich 3.24, dann hörst du bitte an dieser Stelle auf! Du benötigst dann KEIN Update!

Im zweiten Schritt gilt es, die Architektur herauszufinden, für die das Update benötigt wird. Das geht mittels

/system resource print

Hier gibt es eine Zeile wie

architecture-name: mipsbe

Sie besagt, dass MIPSBE die Architektur des Systems ist. Ein weiteres Beispiel: Eine Zeile wie

architecture-name: tile

besagt, dass es sich um die TILE-Architektur handelt. Es gibt noch eine Vielzahl weiterer möglicher Architekturen, vorstehend handelt es sich um zwei Beispiele.

Download des Updates

Das Update für den Backup-Bootloader findet sich nicht auf der offiziellen Downloadseite sondern ist, da es Experten vorbehalten ist, im MikroTik-Wiki zu finden. Dort werden verschiedene Dateien mit der Endung .DPK angeboten, in denen die neue Firmware enthalten ist.

Du musst die für deine Architektur korrekte Datei herunterladen – dabei ist es WICHTIG, dass du GEWISSENHAFT und besser zwei oder gar drei Mal prüfst, die richtige Datei zu haben! Ein falsches Update kann das System unwiederbringlich zerstören!

Die Datei lädst du mittels

/tool fetch url="https://www.mikrotik.com/download/share/NAME-DES-PAKETS.dpk" mode=https

herunter, wobei du die Beispiel-URL entsprechend anpassen musst. Sicherheitshalber solltest du auf der Wiki-Seite auch nach neuen und geänderten Informationen und wichtigen Hinweisen Ausschau halten!

Nach dem Download findest du die Datei mittels

/file print

im System.

Installation und Verifikation des Updates

Jetzt wird es ernst, denn jetzt steht die eigentliche Installation des Updates an. Bitte lies dir nochmal alle vorherigen Hinweise durch und überlege, ob du das Risiko eingehen willst!

Falls ja, dann genügt die Eingabe von

/system reboot

um das System mittels Neustart zum Update zu bringen. Willst du doch lieber abbrechen, dann lösche die heruntergeladene Datei über WinBox, die Weboberfläche oder den Befehl /file remove einfach wieder.

Ist alles gut gegangen, dann solltest du nach kurzer Zeit wieder Zugriff auf das Gerät haben. Über den Befehl

/system routerboard print

prüfst du nun, ob das Update erfolgreich war – im obigen Beispiel verrät dir die Zeile

factory-firmware: 3.41

dass ein neuer Backup-Bootloader installiert wurde. Sicherheitshalber solltest du auch nochmal mittels

/log print where topics ~"system"

ins Systemprotokoll schauen. Ein Eintrag wie

jan/02/1970 02:00:12 system,info verified protected_routerboot_v3_41_enable_6_40_mipsbe.dpk
18:56:57 system,info installed protected-router-6.40
18:56:57 system,info Protected RouterBOOT enabled
18:56:57 system,info router rebooted

verrät dir, dass das Update erfolgreich eingespielt wurde.

Optional: Deaktivieren von RouterBOOT

Du hast das Update eingespielt, um Protected RouterBOOT nutzen zu können. Wichtig zu wissen ist, dass diese Funktion mit Aktualisierung des Backup-Bootloaders automatisch aktiviert wird, mit allen Konsequenzen. Bist du noch nicht bereit dafür, dann kannst du die Einstellung (unter Beibehaltung des neuen Backup-Bootloaders) mittels

/system routerboard settings set protected-routerboot=disabled

deaktivieren. Um zu überprüfen, ob alles geklappt hat, tippst du kurz

/system routerboard settings print

ein. Die Zeile

protected-routerboot: disabled

verrät dir, dass du die Funktion erfolgreich deaktiviert hast. Mehr zur eigentlichen Protected RouterBOOT-Funktion gibt’s dann in einem späteren Blogposting.

Florian Effenberger

Autor: Florian Effenberger

Florian engagiert sich seit über 13 Jahren für freie Software und ist einer der Gründer der The Document Foundation, der Stiftung hinter LibreOffice

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.