In den letzten Wochen habe ich alle meine RouterBOARDS auf Version 6.41 aktualisiert. Passend zur Jahreszeit stand dieses Wochenende auch Frühjahrsputz im Netzwerk an, um mein Konfigurationsskript auf den aktuellen Stand zu bringen. Eine der wesentlichen Änderungen ist, dass an zwei Stellen die Nutzung von Interface-Listen verbindlich wird, was der folgende Beitrag näher beleuchtet.
Interface-Listen sind eine praktische Sache, ermöglichen sie es doch, mehrere Schnittstellen für die Konfiguration zusammenzufassen. Das hilft beispielsweise bei der Firewall, wenn eine Regel für mehrere Interfaces gelten soll. (Im Firewall-Artikel mache ich davon jedoch noch keinen Gebrauch.)
Eigentlich ist die Nutzung optional – an zwei Stellen in der neuen Version ist deren Einsatz jetzt anscheinend aber zwingend erforderlich: zum einen bei den Discovery-Einstellungen (MNDP-Protokoll), mit denen geregelt wird, auf welchen Schnittstellen sich der Router nach außen hin zu erkennen gibt. Zum anderen beim MAC-Server, um zu konfigurieren, von welchen Anschlüssen aus der Zugriff auf WinBox und Telnet per Layer 2 zulässig ist. Konnte man unter Version 6.40 noch einzelne Schnittstellen nennen, so akzeptiert das System jetzt jeweils nur noch eine Liste.
Beim Update wird dabei die bestehende Einstellung in ein oder zwei Interface-Listen namens discover und mac-winbox konvertiert. Da ich künftig aber ohnehin vermehrt mit Interface-Listen arbeiten will, habe ich nach dem Update etwas aufgeräumt und diese durch meine eigenen Listen ersetzt.
Listenplätze
Ich arbeite standardmäßig mit zwei Listen namens wan und lan. WAN steht dabei für Wide Area Network, d.h. der Internetzugang bzw. alles, was sich außerhalb meines eigenen Netzwerks befindet und somit nicht vertrauenswürdig ist. LAN hingegen ist das Local Area Network, d.h. mein eigenes, vertrauenswürdiges Netz. Wer will, kann auch noch eine separate Liste für ein eigenes Mangement-Netz erstellen, das System ist dabei recht flexibel.
Standardmäßig gibt es auch einige vordefinierte Listen: dynamic listet alle dynamisch erstellten Schnittstellen auf, all steht für alle Anschlüsse und none entsprechend für kein Interface.
Angelegt werden die zwei neuen Listen mittels
/interface list add name=wan /interface list add name=lan exclude=wan
Die zweite Zeile besagt, dassGeräte der WAN-Liste aus der LAN-Liste ausgeschlossen werden und bietet somit etwas Schutz vor Fehlkonfigurationen. “Etwas”, da explizit angelegte Einträge trotzdem in der Liste verbleiben – näheres zur Reihenfolge der Einträge gibt’s im MikroTik-Wiki.
Im zweiten Schritt werden nun die einzelnen Schnittstellen zu den jeweiligen Listen hinzugefügt. Dabei füge ich sowohl die physikalischen Interfaces wie ether2 und ether3 hinzu (auch über Switchgruppen hinweg), als auch die darauf laufenden Bridges:
/interface list member add list=wan interface=ether1 /interface list member add list=lan interface=bridge1 /interface list member add list=lan interface=ether2 /interface list member add list=lan interface=ether3 /interface list member add list=lan interface=ether4 /interface list member add list=lan interface=sfp1
Die Befehle müssen natürlich ans eigene System angepasst werden. Vermutlich müssen auch PPPoE-Verbindungen (DSL-Einwahl) und VPN-Schnittstellen mit in diese Liste, derzeit kann ich das allerdings nicht testen. Einen Überblick über alle in Frage kommenden Schnittstellen (in der Regel vom Typ ether oder bridge) liefert ein
/interface print
Umkonfiguration
Zur Sicherheit empfehle ich, die folgenden Schritte mit eingeschaltetem Safe-Mode zu machen, um sich nicht selbst auszusperren. Vernünftig getestet werden kann das Ganze nur aus demselben Layer 2-Segment, also bitte nicht remote probieren. ;-)
Nachdem die Listen nun angelegt sind, wird zunächst der Discovery-Dienst umkonfiguriert. Das geht einfach per
/ip neighbor discovery-settings set discover-interface-list=lan
Analog erfolgt die Umkonfiguration des MAC-Telnet- und MAC-WinBox-Servers:
/tool mac-server set allowed-interface-list=lan /tool mac-server mac-winbox set allowed-interface-list=lan
Jetzt ist der richtige Zeitpunkt, die Einstellung zu testen: Erscheint das System noch korrekt in WinBox? Klappt eine Verbindung per MAC-Adresse? (Für Letzteres einfach auf die MAC statt IP in der Liste klicken, dann erfolgt die Verbindung automatisch über Layer 2.)
Aufräumen
Hat das erfolgreich geklappt, so können etwaige bestehende Listen wie discover und mac-winbox gelöscht werden. Dazu sollte zunächst mittels
/interface list member print
eine Liste aller Interfaces angezeigt und die entsprechenden Nummern (im Beispiel 0 und 3) via
/interface list member remove 0 /interface list member remove 3
gelöscht werden. Wichtig: Vor jedem Löschvorgang erneut die Liste anzeigen lassen, da sich die Nummern dabei ändern können!
Zu guter Letzt kann die eigentliche Interface-Liste entfernt werden. Analog zu oben muss dafür per
/interface list print
die entsprechende Nummer herausgefunden und via
/interface list remove 3
gelöscht werden. Das war’s!
Abschließendes
Für Rückmeldungen, Hinweise und Fehlerkorrekturen bin ich stets dankbar – Obiges ist ein erster Versuch, saubere Interface-Listen zu definieren, die ich auch für die Firewall und andere Einstellungen übernehmen kann. Wie und ob sich das in der Praxis bewährt – ich werde berichten…