Meine ersten Schritte mit MikroTik RouterOS (Teil 2)

Die Konfiguration der Schnittstellen, die Aktivierung von Statistiken und dynamischem DNS und die Erstellung von SSL-Zertifikaten

Leser dieses Blogs wissen, dass ich ein bekennender Freund von OpenWRT bin. Doch ein Blick über den Tellerrand schadet ja nicht – und so habe ich mich die letzten Wochen auf Empfehlung zweier Freunde hin näher mit RouterOS von MikroTik befasst und eine Basiskonfiguration aufgesetzt, die ich in der folgenden Serie näher vorstellen möchte.

Teil 2 befasst sich mit der Einrichtung der Schnittstellen, dem Aktivieren von Statistiken und dynamischem DNS sowie dem Erzeugen von SSL-Zertifikaten.

Die Lektüre von Teil 1 wird empfohlen, da die folgende Anleitung darauf aufbaut. Auch hier gilt das bereits Gesagte: RouterOS ist für mich noch Neuland, für konstruktives Feedback zu Ungenauigkeiten oder Fehlern im Artikel bin ich dankbar. 😉

Konfiguration der Ports

Jedes Gerät verfügt über einen oder mehrere physikalische Anschlüsse, seien es nun kabelgebundene (beispielsweise per RJ45, SFP oder SFP+) oder WLAN. Diese gilt es nun zu konfigurieren. Nach dem Eingeben dieser Befehle wird die Verbindung kurzzeitig getrennt und muss erneut hergestellt werden.

Die grafische Konfiguration der Schnittstellen
Die grafische Konfiguration der Schnittstellen

Dabei sind verschiedene Szenarien denkbar. Handelt es sich um einen Switch, sollen in der Regel alle Schnittstellen in einer so genannten Switchgruppe sein, von Besonderheiten wie VLAN einmal abgesehen. Damit die Anschlüsse sich gegenseitig “sehen”, wird der jeweils erste als so genannter Master-Port definiert. Gleichzeitig bietet es sich an, sowohl RX/TX-Flow als auch den Schutz vor versehentlichen Loops zu aktivieren. Das geht beispielsweise mit

/interface ethernet set ether1 rx-flow-control=auto tx-flow-control=auto loop-protect=on
/interface ethernet set ether2 rx-flow-control=auto tx-flow-control=auto loop-protect=on master-port=ether1
/interface ethernet set ether3 rx-flow-control=auto tx-flow-control=auto loop-protect=on master-port=ether1
/interface ethernet set ether4 rx-flow-control=auto tx-flow-control=auto loop-protect=on master-port=ether1
/interface ethernet set ether5 rx-flow-control=auto tx-flow-control=auto loop-protect=on master-port=ether1
/interface ethernet set sfp1 rx-flow-control=auto tx-flow-control=auto loop-protect=on master-port=ether1

Handelt es sich um einen Router, ist in der Regel die erste Schnittstelle für den Internetzugang reserviert, die anderen für Geräte im lokalen Netzwerk. Daher fassen wir erst alle Geräte ab dem zweiten Port zusammen:

/interface ethernet set ether2 rx-flow-control=auto tx-flow-control=auto loop-protect=on
/interface ethernet set ether3 rx-flow-control=auto tx-flow-control=auto loop-protect=on master-port=ether2
/interface ethernet set ether4 rx-flow-control=auto tx-flow-control=auto loop-protect=on master-port=ether2
/interface ethernet set ether5 rx-flow-control=auto tx-flow-control=auto loop-protect=on master-port=ether2

Brücken bauen

Einen Sonderfall stellen Access Points dar, da hier eine Bridge zwischen dem Funknetz und dem kabelgebundenen Netzwerk hergestellt wird – das lässt sich nicht mehr mittels einfacher Switchgruppen bewerkstelligen. Um eine solche Verbindung herzustellen, wird zunächst der Port ähnlich wie oben konfiguriert:

/interface ethernet set ether1 rx-flow-control=auto tx-flow-control=auto loop-protect=on

Anschließend wird eine Bridge erzeugt:

/interface bridge add name=bridge1

Im letzten Schritt müssen jetzt alle Schnittstellen zu dieser Bridge hinzugefügt werden. Im Beispiel gibt es zwei WLAN-Interfaces, eines für 2.4 GHz und eines für 5 GHz:

/interface bridge port add bridge=bridge1 interface=wlan1
/interface bridge port add bridge=bridge1 interface=wlan2
/interface bridge port add bridge=bridge1 interface=ether1

Sicher ist sicher

Verschiedene Dienste – unter anderem die Weboberfläche und der WLAN-Controller – arbeiten mit SSL-Zertifikaten. RouterOS erlaubt sowohl den Import von bereits bestehenden Zertifikaten als auch das Erzeugen selbstsignierter Varianten.

Vorab sollte das Datum gesetzt werden, da zum jetzigen Zeitpunkt mangels Netzzugriff noch kein NTP-Server erreichbar ist. Den 11. März 2017 setzt man beispielsweise mit

/system clock set date=mar/11/2017

Anschließend werden zwei Vorlagen angelegt, eine für die CA (Zertifizierungsstelle) und eine für das Gerät, mit 2048 Bit und einer Gültigkeit von zehn Jahren – höhere Schlüsselgrößen konnte ich in meinen Versuchen leider nicht erzeugen:

/certificate add name="Meine CA" common-name="Meine CA" key-usage=key-cert-sign,crl-sign key-size=2048 days-valid=3650
/certificate add name="gateway1.local" common-name="gateway1.local" key-size=2048 days-valid=3650

Anschließend wird die CA selbstsigniert und daraufhin das Serverzertifikat mit der soeben erstellten CA:

/certificate sign "Meine CA" name="Meine CA"
/certificate sign "gateway1.local" ca="Meine CA" name="gateway1.local"

Abschließend wird RouterOS noch angewiesen, der eigenen CA zu vertrauen und somit auch allen damit erzeugten Zertifikaten:

/certificate set "Meine CA" trusted=yes

Ein paar Statistiken…

Danach aktivieren wir noch die Statistikfunktionen von RouterOS, die eine grafische Darstellung diverser Systemparameter ermöglichen, beispielsweise von Traffic und CPU-Auslastung.

Statistiken in MikroTik RouterOS
Statistiken in MikroTik RouterOS

Das geht mit folgendem Dreizeiler, der den Zugriff nur aus dem Bereich 192.168.x.y zulässt:

/tool graphing interface add allow-address=192.168.0.0/16
/tool graphing queue add allow-address=192.168.0.0/16
/tool graphing resource add allow-address=192.168.0.0/16

Nach kurzer Zeit stehen die Statistiken beispielsweise per Weboberfläche oder WinBox zur Verfügung.

Dynamischer DNS

Zwar beherrscht RouterOS die Nutzung von dynamischen DNS-Anbietern nicht mit Bordmitteln, bietet aber über die MikroTik-eigene Cloud einen separaten Dienst an. Dieser lässt sich bei Bedarf einfach mittels

/ip cloud set ddns-enabled=yes update-time=yes

aktivieren. Der oben stehende Befehl sorgt für eine regelmäßige Aktualisierung der IP-Adresse und die Aktualisierung der Systemuhr. Den von MikroTik zugewiesenen Hostnamen erfährt man mittels

/ip cloud print

im Feld dns-name. Zum jetzigen Zeitpunkt funktioniert das Ganze mangels Netzzugang jedoch noch nicht – um genau dieses Thema wird sich dann der dritte Teil drehen.

Florian Effenberger

Autor: Florian Effenberger

Florian engagiert sich seit über 13 Jahren für freie Software und ist einer der Gründer der The Document Foundation, der Stiftung hinter LibreOffice

4 Gedanken zu „Meine ersten Schritte mit MikroTik RouterOS (Teil 2)“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.