Нововведение в RouterOS 7 - Device Mode (защита мира от Вас) Один из симптомов указывает ошибка в логах -  failure: not allowed by device-mode  

Начиная с версии RouterOS 7.17 доступны три режима Device-mode:

Device‑mode - это инструмент для администраторов, позволяющий устанавливать ограничения на устройстве. Его цель — минимизировать риски злоупотребления устройством в случае его компрометации.

Даже если злоумышленник получит доступ к устройству, благодаря настройкам Device‑mode он:

- не сможет использовать его для атак на другие сети;

- будет ограничен в выполнении потенциально опасных операций.

Таким образом, механизм служит барьером, сдерживающим вредоносные действия даже при нарушении периметра безопасности.

Иными словами... это защита не для Вас а от Вас.

Основные режимы Device-mode

1. Advanced (ранее Enterprise):
- Разрешены почти все функции, кроме некоторых, таких как traffic-gen, container, partitions, install-any-version, routerboard.
- Этот режим по умолчанию используется на устройствах CCR и серии 1100 .

2. Home:
- Отключает такие функции, как scheduler, socks, fetch, bandwidth-test, traffic-gen, sniffer, romon, proxy, hotspot, email, zerotier, container.
- Предназначен для домашних пользователей, чтобы минимизировать риски .

3. Basic:
- Самый ограниченный режим, отключает большинство функций, включая socks, bandwidth-test, traffic-gen, proxy, hotspot, zerotier, container, install-any-version, partitions, routerboard.
- Используется для устройств, где требуется максимальная безопасность .

- Коротко как работает Device-mode

1. Ограничение функций:
- В зависимости от выбранного режима, определённые функции RouterOS становятся недоступными. Например, в режиме Home нельзя использовать hotspot или sniffer .

2. Подтверждение изменений:
- Для изменения режима требуется физическое подтверждение: нажатие кнопки на устройстве или "холодная перезагрузка" (отключение питания). Это предотвращает удалённое изменение режима злоумышленниками .

3. Лимит попыток:
- Устройство позволяет изменить режим только три раза. После этого требуется сбросить счётчик попыток через перезагрузку или нажатие кнопки .

4. Флаг "flagged":
- Если система обнаруживает подозрительные изменения в конфигурации, она переводит устройство в состояние "flagged". В этом состоянии ограничиваются определённые действия, такие как создание новых конфигураций или использование функций bandwidth-test, sniffer и других .

- Как юзать Device-mode.

Изменяется или настраивается режим только через терминал строку. В WINBOX данного пункта не найдете.

1. Просмотр текущего режима:
- В терминале RouterOS выполните команду:
/system/device-mode/print
- Это покажет текущий режим и доступные функции .

2. Изменение режима: - Чтобы изменить режим, используйте команду:
/system/device-mode/update mode=home
- После этого нужно подтвердить изменение, нажав кнопку на устройстве или отключив питание в течении короткого времени .

3. Включение отдельных функций: - Если в текущем режиме отключена нужная функция (например, container), её можно включить:
/system/device-mode/update container=yes
- Это также требует подтверждения .

4. Сброс состояния "flagged": - Если устройство перешло в состояние "flagged", выполните:
/system/device-mode/update flagged=no