In der November-Ausgabe beleuchtet IT-Administrator wesentliche Aspekte des Infrastrukturmanagements. Dazu gehört die Frage, wie Sie Rechenzentren erfolgreich ... (mehr)

Viele Stellschrauben

RouterOS bietet im Gegensatz zu vielen Consumer-Produkten nicht nur zahlreiche Funktionen, sondern erfordert oft auch deren detaillierte Konfiguration. Eine ausführliche Erklärung aller Optionen sowie viele Tipps und Tricks zur Kommandozeile hält die offizielle MikroTik-Dokumentation [2] bereit. Im Folgenden bauen wir die Konfiguration in einigen Beispielen aus. Hier lässt sich die Kommandozeile nutzen oder – wie erwähnt – analog die entsprechenden Menüpunkte in WinBox.

Die WLAN-SSID haben wir zwar mittels Quick Set konfiguriert, der Router selbst heißt jedoch noch "MikroTik", was spätestens bei zwei RouterOS-Geräten im Netzwerk schnell für Verwirrung sorgt. Über das Kommando

/system identity set name=router1

vergeben wir einen neuen Namen, der ohne Neustart sofort aktiv ist.

RouterBOARD-Geräte besitzen von Haus aus keinen eigenen Zeitgeber, sind also darauf angewiesen, die korrekte Uhrzeit per NTP zu beziehen. Zunächst setzen wir unsere Zeitzone mittels

/system clock set time-zone-name=Europe/Berlin

und konfigurieren dann mindestens zwei verschiedene NTP-Server über

/system ntp client set server-dns-names=pool.ntp.org,time.google.com enabled=yes

In größeren Netzwerken empfiehlt sich gegebenenfalls das internationale "UTC" als Zeitzone. Betreiben Sie einen lokalen NTP-Server, geben Sie natürlich diesen statt der externen Quellen an.

In größeren Netzwerken stolpert der IT-Verantwortliche früher oder später über einen so genannten "Loop" – ein falsch eingestecktes Kabel, das zwei Mal mit demselben Switch verbunden ist. Dadurch wird das Netzwerk langsam, denn die Pakete drehen sich im Kreis. RouterOS bietet einen integrierten Schutz, indem es die betreffenden Ports vorübergehend deaktiviert. Diese Funktion ist jedoch standardmäßig nicht eingeschaltet, was wir mit dem Befehl

 

/interface ethernet set [find] loop-protect=on

ändern. Hierbei lernen wir auch gleich eine praktische RouterOS-Funktion kennen – mit "[find]" wenden wir den Befehl einfach auf alle vorhandenen Schnittstellen an, ohne diese extra zu benennen.

Zwar läuft dank Quick Set bereits eine Firewall auf unserem Gerät, dennoch sind im Hintergrund verschiedene Dienste aktiv, die wir bei Nichtnutzung besser ausschalten. Standardmäßig startet RouterOS beispielsweise FTP, Telnet, unverschlüsseltes HTTP und eine unverschlüsselte API, was nicht nur Ressourcen kostet, sondern auch unsicher ist. Einen Überblick über die laufenden "IP-Services" erhalten Sie mit

/ip service print where disabled=no

In RouterOS filtern Sie dabei mit "where" die Ausgabe, in unserem Fall auf nicht deaktivierte Dienste hin. Interessant daran ist übrigens die Verneinung, denn den Status "enabled=yes" gibt es nicht.

Ein bewährtes Vorgehen ist es, zunächst alle Dienste zu deaktivieren, um diese dann sukzessive bei Bedarf wieder in Betrieb zu nehmen. Diese Dienste laufen auf IP-Ebene, sodass wir für den Fall, dass wir uns beispielsweise durch Deaktivieren der SSH-Verbindung selbst aussperren, die eingangs erwähnte MAC-Verbindung als Rettungsanker zur Verfügung haben. Da wir uns aktuell per WinBox-Terminal verbinden, deaktivieren wir zunächst alle anderen Dienste:

/ip service disable [find name!=winbox]

Den bereits weiter oben erwähnten find-Befehl nutzen wir hier in erweiterter Funktion. Er liefert uns im Beispiel alle Einträge, deren Namen nicht auf WinBox lauten, sodass wir damit alle anderen Dienste deaktivieren. Danach starten wir den SSH-Dienst erneut:

/ip service enable ssh

und überprüfen unsere Einstellung nochmals mit

/ip service print where disabled=no

RouterOS erlaubt außerdem, Dienste nur von bestimmten IP-Adressen freizuschalten – da wir unser Netzwerk nicht "remote" warten wollen, sperren wir den Zugriff auf die IP-Services von außerhalb:

/ip service set address=192.168.0.0/16 [find]

Möchten Sie hingegen alle Dienste außer SSH von außen sperren, dann lautet die Syntax

/ip service set address=192.168.0.0/16 [find name!=ssh]

In diesem Fall benötigen Sie aber zusätzlich eine entsprechende Firewall-Regel, die den Zugang von außen erlaubt. Um den SSH-Zugriff von außen zusätzlich abzusichern, hilft die Anleitung unter [3].

Ein weiterer Dienst, der standardmäßig aktiv ist, ist der so genannte Bandbreitenmonitor. Damit messen Sie bei Bedarf die Verbindungsgeschwindigkeit zwischen zwei RouterOS-Geräten. Auch wenn dieser Dienst von Haus aus ohnehin nur für authentifizierte Nutzer zur Verfügung steht, benötigen wir ihn dennoch nicht und deaktivieren ihn daher:

/tool bandwidth-server set enabled=no

Lasst Zahlen sprechen

RouterOS verfügt über integrierte Statistiken zur CPU-, Speicher- und Netzwerkauslastung zur Anzeige im Browser. Standardmäßig ist die Funktion jedoch deaktiviert. Um mit der Aufzeichnung der nötigen Daten zu beginnen, aktivieren wir den Dienst und legen zugleich fest, dass der Zugriff nur aus dem heimischen Netz erfolgen darf, denn einen Passwortschutz für diese Funktion bietet MikroTik nicht an:

/tool graphing interface add allow-address=192.168.0.0/16
/tool graphing queue add allow-address=192.168.0.0/16
/tool graphing resource add allow-address=192.168.0.0/16

Die Statistiken werden in kurzen Abständen neu aufbereitet, sodass etwas Geduld gefragt ist, bevor Sie die ersten Ergebnisse unter "https://192.168.88.1/graphs/" sehen.

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023