Richtig routen mit RouterOS

Routenplaner

MikroTik liefert Netzwerkausrüstung mit einem Linux-basierten Betriebssystem namens RouterOS. Darin warten zahlreiche Features auf den Administrator, der diese nicht nur auf der Hardware des Anbieters, sondern auch auf x86-Servern sowie in virtuellen Maschinen nutzen kann. Wir zeigen die Konfiguration und die Inbetriebnahme des Systems.
In der November-Ausgabe beleuchtet IT-Administrator wesentliche Aspekte des Infrastrukturmanagements. Dazu gehört die Frage, wie Sie Rechenzentren erfolgreich ... (mehr)

Neben einer integrierten Firewall, QoS, DNS- und DHCP-Server bietet RouterOS unter anderem Layer7-Filterung, RIP, OSPF, BGP, MPLS, VRRP und zahlreiche VPN-Server und -Clients: Ergänzt wird dies durch eine Hotspot-Funktionalität samt Radius-Anbindung sowie einen WLAN-Controller namens "CAPsMAN", mit dem sich mehrere Access Points zentral verwalten lassen. MikroTik selbst vertreibt unter "RouterBOARD" Router, Access Points und Switche in verschiedenen Preisklassen. Einsteigergeräte inklusive Lizenz gibt es bereits ab circa 20 Euro, während die Spitzenmodelle mit leistungsfähiger Mehrkern-CPU bis zu 2500 Euro kosten. Auch LTE-Router und Point-to-Point-Verbindungen im 60-GHz-Bereich hat MikroTik im Programm.

RouterOS ist allerdings keine freie Software und Lizenzen schlagen mit 40 bis 220 Euro zu Buche. Bei so gut wie identischem Funktionsumfang entscheidet die Gesamtzahl der Nutzer beziehungsweise die Netzwerkbandbreite über den Endpreis. Eine kostenlose Testlizenz ist ebenfalls verfügbar. Zur Konfiguration dienen sowohl ein grafisches Tool namens "WinBox", das mittels WINE auch problemlos unter macOS und Linux funktioniert, als auch eine Weboberfläche ("WebFig") sowie eine SSH-Konsole. Die Steuerung per API oder Android-App ist zudem möglich.

RouterOS in Betrieb nehmen

Für die folgenden Beispiele nutzen wir einen "MikroTik hAP Lite" (Modell RB941-2nD), der als Router mit einem handelsüblichen Kabelmodem verbunden ist. Zur Inbetriebnahme laden wir zunächst die Konfigurationssoftware WinBox [1] herunter, verbinden Port 1 ("Internet") mit dem Kabelmodem und Port 2 ("LAN") mit dem PC.

Nach dem Start von WinBox erscheint der Eintrag "MikroTik" in der Liste der Geräte, zu dem wir uns als Benutzer "admin" ohne Passwort verbinden. Dies ist entweder per "MAC/Layer 2" oder "IP/ Layer 3" möglich, je nachdem, welche Adresse wir anklicken. Die IP-Verbindung ist stabiler und daher zu empfehlen. Die MAC-Verbindung ist vor allem als Rettungsanker, wenn wir uns beispielsweise durch eine falsche Firewallkonfiguration auf IP-Ebene selbst aussperren, sehr hilfreich. In beiden Fällen begrüßt uns ein Dialog, der die vorgeschlagene Standardkonfiguration zeigt, die wir mit einem Klick auf "OK" einfach übernehmen.

Am oberen Rand der WinBox-Konfigurationsoberfläche befinden sich Menü- und Statuszeile und auf der linken Seite das eigentliche Konfigurationsmenü. Die meisten Einträge wie "Interfaces" öffnen direkt eine Dialogbox, andere wie "IP" oder "System" hingegen teilen sich – erkennbar am Pfeilsymbol – in weitere Untermenüs auf. Dabei bildet RouterOS die in WinBox sichtbaren Optionen fast immer 1-zu-1 auf der Kommandozeile ab: "Interfaces / Ethernet" entspricht »/interface ethernet« und "System / Packages / Disable" dem Befehl »/system package disable« .

Bild 1: WinBox erlaubt die RouterOS-Konfiguration per grafischer Oberfläche.

Schnell die Schotten dicht

Trotz aktivierter Standardkonfiguration ist das System derzeit noch nicht sicher – der Admin-Benutzer ist ohne Kennwort und insbesondere das WLAN ist völlig ungeschützt. Für die Arbeit mit RouterOS sollten Sie nicht nur aus diesem Grund Erfahrung aus der Netzwerkadministration mitbringen. Für den Schnelleinstieg gelangen Sie über die Option "Quick Set" oben im Menü zu einer einfachen Grundkonfiguration. Im folgenden Dialog gibt dann links oben eine Dropdown-Box den Zugriff auf verschiedene Profile frei, wobei "Home AP" für unsere Zwecke am besten geeignet ist. Wir setzen den "Network Name" auf die gewünschte WLAN-SSID, "Country" auf "Germany" und das "WiFi Password" auf ein sicheres Kennwort. Nutzen Sie DSL, können Sie hier die Zugangsdaten hinterlegen, indem Sie "Address Acquisition" auf "PPPoE" stellen. Ganz unten in der Dialogbox vergeben wir noch ein Passwort für den Admin-Benutzer. Geänderte Einstellungen hinterlegt Router­OS dabei blau, und mit einem Klick auf "Apply" speichern Sie diese ab.

Die Erstinstallation des Routers ist damit abgeschlossen. Er stellt einen Internetzugang über Port 1 per PPPoE oder DHCP her, kümmert sich um das NAT für die lokalen Clients, leitet DNS-Abfragen an den Provider-Server weiter und sichert die Internetverbindung durch eine rudimentäre Firewall ab. Die Schnittstellen 2 bis 4 sind zusammen mit dem aktivierten WLAN als Bridge eingerichtet, auf der ein DHCP-Server IP-Adressen im Bereich 192.168.88.10-254 vergibt.

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023