Grundlegendes Konfigurationssystem für RouterOS (Mikrotik)

• Anlegen eines neuen Systembenutzers
• Ändern des Namens der Geräte-ID
• `Konfiguration der Fernzugriffsdienste für das Gerät`_
• `Konfiguration der Netzwerkschnittstellen`_
• `Konfiguration der DNS- und NTP-Dienste`_
• `Grundkonfiguration von NAT für ausgehenden Netzwerkverkehr`_
• Grundkonfiguration der Portweiterleitung
• Sichern und Wiederherstellen der Konfiguration
• Nützliche Einstellungen für Mikritik-Router

Wichtig

Nach der Installation des virtuellen RouterOS empfehlen wir Ihnen, dessen Grundkonfiguration vorzunehmen. Dabei werden die Netzwerkschnittstellen, Sicherheitseinstellungen und andere Faktoren konfiguriert, die zu einem korrekten und störungsfreien Betrieb des Betriebssystems beitragen.

Hinweis

Die Grundkonfiguration wird mit Textbefehlen durchgeführt, die über die Befehlszeilenschnittstelle (CLI) aufgerufen werden

1. Anlegen eines neuen Systembenutzers

Um die Sicherheit zu erhöhen, empfehlen wir Ihnen, sich bei Mikrotik als eindeutiger Benutzer anzumelden.

• Legen Sie dazu einen neuen Benutzer an, vergeben Sie ein Passwort für ihn und fügen Sie ihn der Gruppe mit Administratorrechten hinzu.

Wichtig

Verwenden Sie keine allgemein gebräuchlichen Namen wie „user“, „guest“, „admin“ usw. Verwenden Sie keine Passwörter wie ‚12345‘, ‚qwerty‘ oder ähnliches und verwenden Sie Ihren Benutzernamen nicht erneut als Passwort. Das Passwort sollte mindestens 8 Zeichen lang sein und sowohl Klein- als auch Großbuchstaben, Ziffern und idealerweise Sonderzeichen enthalten.

user add name=<user> password=<pass> group=full

where
    <user> - is the name of the new user
    <pass> - is the password for the new user

• Geben Sie zur Überprüfung eine Liste der Systembenutzer aus und überprüfen Sie, ob der neu angelegte Benutzer darin enthalten ist, und beenden Sie dann das System

  user print
  quit
  

• Melden Sie sich mit dem neuen Benutzer am System an und deaktivieren Sie den Standardbenutzer „admin“.

  user disable admin
  

2. Ändern des Namens der Geräte-ID

Wenn Sie mehrere Geräte verwalten, kann der Identifizierungsprozess vereinfacht werden, indem Sie den vom Betriebssystem angezeigten Standardnamen ‚MikroTik‘ durch einen eigenen Namen ersetzen.

• Ändern des Gerätenamens

  system identity set name=<new name>
  
  where
      <new name> - is the new device ID
  

• Prüfen des aktuellen Gerätenamens

  system identity print
  

3. Konfiguration der Dienste für den Fernzugriff auf das Gerät

ОС RouterOS ermöglicht die Nutzung vieler integrierter Dienste für den Zugriff als Administrator; diese können konfiguriert werden.

• Deaktivieren Sie die Dienste, die Sie nicht für die Verwaltung des Geräts verwenden wollen

  ip service disable telnet,ftp,api,api-ssl,www-ssl
  

• Aktivieren Sie die verbleibenden Dienste mit eingeschränktem Zugriff auf das Gerät, indem Sie die IP-Adresse angeben, von der aus der Zugriff erlaubt ist (oder eine durch Kommata getrennte Liste von Adressen)

  ip service enable ssh,www,winbox
  ip service set ssh address=IP1
  ip service set www address=IP1,IP2
  ip service set winbox address=IP1,IP2
  ip service print
  
  where
      IP1, IP2 - are IP addresses
  

• Prüfen Sie, ob die Zugangsbeschränkung korrekt konfiguriert wurde

  ip service print
  

4. Konfigurieren der Netzwerkschnittstellen

Die Netzwerkschnittstellen werden wie folgt konfiguriert.

• Besorgen Sie sich eine Liste der Netzwerkschnittstellen und ihrer MAC-Adressen

  interface ethernet print
  

• Bestimmen Sie anhand der erhaltenen Informationen (Übereinstimmung des Schnittstellennamens mit seiner MAC-Adresse), welche der Schnittstellen, ether1 oder ether2, extern und welche intern ist. Zur Erleichterung der weiteren Arbeit benennen Sie diese dann entsprechend in WAN und LAN um

  interface ethernet set ether1 name=WAN
  interface ethernet set ether2 name=LAN
  interface print
  

• Weisen Sie den Schnittstellen IP-Adressen zu

  ip address add address=<ip wan> interface=WAN
  ip address add address=<ip lan> interface=LAN
  ip address print
  
  wobei
      <ip wan>, <ip lan> - sind IP-Adressen, die dem Router zugeordnet sind. Sie werden als 'IP-Adresse/Netzmaske' angegeben,
      z.B. 172.16.0.15/20 for the WAN and 10.10.10.1/24 for the LAN.
  

• Definieren Sie ein Standard-Gateway für den Router

  ip route add gateway=<ip gw>
  ip route print
  
  wobei
      <ip gw> - ist die IP-Adresse des externen Gateways für das WAN. Bei SIM-Cloud-Infrastrukturprojekten ist dies häufig '172.16.0.1'.
  

5. Konfigurieren der DNS- und NTP-Dienste

Nun stellen wir den Wert des verwendeten DNS-Servers und die Zeitzone ein und aktivieren die automatische Zeitsynchronisation.

ip dns set servers=8.8.8.8
ip dns print

system clock set time-zone-name=Europe/Berlin
system clock print

system ntp client set enabled=yes server-dns-names=pool.ntp.org
system ntp client print

6. Grundlegende NAT-Konfiguration für ausgehenden Netzwerkverkehr

Führen Sie eine grundlegende NAT-Konfiguration durch, damit die Hosts, die sich außerhalb des Routers befinden (mit Adressen aus dem LAN), die Möglichkeit haben, über den Router ins Internet zu gehen.

ip firewall nat add chain=srcnat out-interface=WAN action=masquerade

7. Grundkonfiguration der Portweiterleitung

Oft ist es notwendig, den Zugang zu einem entfernten Server zu ermöglichen, der sich außerhalb des Routers befindet.

In solchen Fällen wird eine Weiterleitung des Ports des Dienstes durchgeführt (z. B. RDP-TCP/3389 oder SSH-TCP/22). Wenn mehrere Server oder Dienste außerhalb des Routers mit demselben Port vorhanden sind, kann der Standardport durch einen benutzerdefinierten Port ersetzt werden.

So führen Sie eine einfache Portweiterleitung für den RDP-Port TCP/3389 durch:

ip firewall nat add chain=dstnat action=dst-nat to-addresses=<Server_Local_IP> to-ports=3389 protocol=tcp dst-address=<Router_WAN_IP> dst-port=3389 log=yes log-prefix=""

wobei

<Server_Local_IP> - ist die lokale IP-Adresse des Servers, an den der Port TCP/3389 weitergeleitet wird
<Router_WAN_IP> - ist die IP-Adresse der WAN-Schnittstelle des Routers (nicht zu verwechseln mit der Floating IP).

Beispiel:

ip firewall nat add chain=dstnat action=dst-nat to-addresses=192.168.100.9 to-ports=3389 protocol=tcp dst-address=172.16.0.9 dst-port=3389 log=yes log-prefix=""

In diesem Fall wird die Verbindung zum Port TCP/3389 mit der IP-Adresse 172.16.0.9 (der die Floating-IP zugewiesen ist) an den lokalen Port 192.168.100.9 des Windows-Servers auf demselben Service-Port weitergeleitet.

8. Sichern und Wiederherstellen der Konfiguration

• Erstellen Sie eine Sicherungskopie der Konfiguration

  system backup save dont-encrypt=yes name=<backup-name>
  

• Wiederherstellen der Konfiguration aus der Sicherungskopie

  system backup load name=<backup-name>.backup
  

9. Nützliche Einstellungen für Mikritik-Router

• Die Regel, die es erlaubt, den Router bei der Überprüfung des Pfades aufgrund von Änderungen des ttl zu verbergen:

  /ip firewall mangle add action=change-ttl chain=prerouting new-ttl=increment:1 passthrough=yes