Leser dieses Blogs wissen, dass ich ein bekennender Freund von OpenWRT bin. Doch ein Blick über den Tellerrand schadet ja nicht – und so habe ich mich die letzten Wochen auf Empfehlung zweier Freunde hin näher mit RouterOS von MikroTik befasst und eine Basiskonfiguration aufgesetzt, die ich in der folgenden Serie näher vorstellen möchte.
Teil 6 befasst sich mit dem Backup des Systems.
Jetzt, da wir in den vergangenen fünf Teilen gemeinsam unser RouterOS eingerichtet haben, ist es an der Zeit, die bisherigen Errungenschaften zu sichern: die Rede ist vom Backup des Systems.
Sicherung der Lizenz
RouterOS kennt diverse Backup-Typen. In der Regel nur einmalig sichern muss man seine Lizenz.
Für diese gibt es verschiedene Stufen, wobei sich die Funktionalität in den relevanten “Leveln” 4, 5 und 6 nicht voneinander unterscheidet, lediglich die Zahl gleichzeitiger Benutzer beispielsweise für VPN-Tunnel oder PPPoE-Server ist unterschiedlich.
Kauft man sich nachträglich ein Upgrade, oder betreibt man RouterOS auf eigener Hardware oder innerhalb einer VM, dann wird die Lizenzdatei in der Regel per E-Mail übermittelt und sollte dort gesichert werden. Jedes MikroTik-Gerät wird von Haus aus allerdings ebenfalls mit einer vorinstallierten RouterOS-Lizenz ausgeliefert.
Diese ist fest an die Hardware gekoppelt und verleibt im Regelfall auch immer darauf, auch bei Updates des Systems oder kompletten Neuinstallationen. In Einzelfällen mag es jedoch passieren, dass die Lizenzdatei zerstört wird – dann funktioniert das System nur noch über einen kurzen Zeitraum und stellt dann den Dienst ein. Zwar hilft der Support in solchen Fällen laut Berichten wohl unkompliziert weiter, man spart sich aber viel Zeit und Nerven, wenn man die Lizenzdatei einfach direkt sichert. Das geht mit folgendem Befehl:
/system license output
Anschließend findet man beispielsweise per WinBox im Menü File eine Datei im Format ABCD-EFGH.key, wobei ABCD-EFGH für die eindeutige ID des Gerätes steht. Sie sollte auf einem externen Medium gesichert werden, damit sie im Fall der Fälle wieder importiert und die Lizenz somit wiederhergestellt werden kann.
Sichern der Standardkonfiguration
Zu Anfang der Serie hatten wir bereits über die Standardkonfiguration von RouterOS berichtet. Um mir neue Geräte näher anzusehen, exportiere ich mir gerne die Konfigurationsvorgaben. Auch hier genügt eine einmalige Sicherung, die wieder per WinBox heruntergeladen werden kann. Der Befehl dazu lautet:
/system default-configuration print file=([/system identity get value-name=name]."-default")
Hier sehen wir zum ersten Mal die Benutzung von RouterOS-Variablen im Einsatz, denn der Hostname des Geräts wird in den Dateinamen übernommen. Heraus kommt am Schluss beispielsweise eine Datei namens gateway1-default.txt
Backup als Binärdatei
Für eine vollumfängliche Wiederherstellung des Geräts unterstützt RouterOS ein Backup in Binärform. Dieses kann nur auf Geräten gleichen Typs eingespielt werden, dafür sind auch Zertifikate, Benutzernamen und Passwörter enthalten. Erzeugt wird es mittels
/system backup save dont-encrypt=yes name=([/system identity get value-name=name])
Optional lässt sich das Backup auch per Passwort verschlüsseln, um keine vertraulichen Informationen ungesichert abzulegen. Die Datei trägt einen Namen wie beispielsweise gateway1.backup
Interessant wäre, ob beispielsweise auch die MAC-Adressen der Netzwerkschnitstellen in der Binärdatei enthalten sind – das muss ich bei Gelegenheit direkt mal testen…
Backup in Skriptform
Deutlich flexibler, dafür aber ohne Zertifikate und Benutzerdaten ist der Export in Skriptform. Er exportiert die Kommandozeile ähnlich, wie wir sie auch im Rahmen dieser Serie kennen gelernt haben, sodass sie bequem als Skript auch auf anderen Geräten eingespielt werden kann.
Hier sind vier verschiedene Varianten zu unterscheiden, die regelmäßig nach Konfigurationsänderungen erstellt werden sollten:
- der kompakte Export, der nur solche Einstellungen enthält, die sich von der Standardkonfiguration unterscheiden
- der umfassende Export, der auch solche Einstellungen beinhaltet, die nicht verändert wurden
- jede dieser Formen kann wahlweise mit oder ohne vertrauliche Daten wie beispielsweise WLAN-Passwörter gesichert werden
Um alle vier Varianten nacheinander zu sichern, bedient man sich folgender Kommandozeile:
/export compact file=([/system identity get value-name=name]."-backup-cmp-prv.rsc") /export verbose file=([/system identity get value-name=name]."-backup-vrb-prv.rsc") /export compact hide-sensitive file=([/system identity get value-name=name]."-backup-cmp-pub.rsc") /export verbose hide-sensitive file=([/system identity get value-name=name]."-backup-vrb-pub.rsc")
Auch diese lassen sich wieder per WinBox herunterladen, wonach sie zur Sicherheit vom Router selbst gelöscht werden sollten.
Ausblick
Fortgeschrittene Anwender können ihre Konfiguration auch automatisch und regelmäßig mit dem integrierten Scheduler exportieren lassen. Mehr Informationen dazu gibt es in einem eigenen Wiki-Artikel zum Thema.
In den folgenden Teilen dieser Serie widmen wir uns dann den Themen WLAN sowie IPv6 – jetzt haben wir ja ein Backup, mit dem wir notfalls zum Status quo zurückkehren können. ;-)
Mit einem
/certificate export-certificate [find] export-passphrase=ExportPasswort!123kann man zudem sämtliche Zertifikate samt Private Keys exportieren.