MikroTik Router Initial Setup

MikroTik Router Initial Setup

Das ist eine MikroTik Ersteinrichtung Konfiguration, die ich auf jedes neue RouterBOARD installiere. Mit dieser Konfiguration wird der Router grundlegend abgesichert, eine Internet-Verbindung eingerichtet und diese dem lokalen Netzwerk bereitgestellt. Diese Konfiguration nutze ich meistens als Ausgangspunkt für weitergehende Setup’s wie z.B. für Standortkopplung via VPN.

Voraussetzungen

  • Keine

Einrichtung

Für diese Anleitung habe ich ein RouterBOARD 750 genutzt. Das LAN-Port 1 wird als Internet Anbindung konfiguriert und die Port’s 2 bis 5 als Switch-Port’s für das lokale Netz mit DHCP Server. Switch Port’s konfigurieren

Auflistung aller Ports:

/interfaces print

Flags: D - dynamic, X - disabled, R - running, S - slave
# NAME TYPE MTU L2MTU MAX-L2MTU
0 ether1 ether 1500 1600 4076
1 ether2 ether 1500 1598 2028
2 ether3 ether 1500 1598 2028
3 ether4 ether 1500 1598 2028
4 ether5 ether 1500 1598 2028

Setzten von „ether2“ Port als Switch Master-Port und Port „ether3“ bis „ether5“ als Slave-Port

/interface ethernet set 2 master-port=ether2
/interface ethernet set 3 master-port=ether2
/interface ethernet set 4 master-port=ether2

Als erstes wird für den Admin Account ein Passwort gesetzt

/user set admin password=

Als nächstes wir die IP Adresse (172.16.3.254) für das LAN-Interface auf dem Router gesetzt

/ip address add address=172.16.3.254/24 interface=ether2

Nun wird der DHCP Server, mit Hilfe des Setup Assistent, eingerichtet und danach gestartet

/ip dhcp-server setup

Es muss nur bei „dhcp Server interface:“ das LAN-Device „ether2“ eingetragen werden. Alle anderen Parameter können so belassen werden. Die komplette Ausgabe sieht wie folgt aus:

[admin@MikroTik>] > /ip dhcp-server setup
Select interface to run DHCP server on
dhcp server interface: ether2
Select network for DHCP addresses
dhcp address space: 172.16.3.0/24
Select gateway for given network
gateway for dhcp network: 172.16.3.254
Select pool of ip addresses given out by DHCP server
addresses to give out: 172.16.3.1-172.16.3.253
Select DNS servers
dns servers: 8.8.8.8
Select lease time
lease time: 3d

Mit diesen Regeln wird die Firewall minimal konfiguriert.

/ ip firewall filter
add chain=input connection-state=established comment="Accept established connections"
add chain=input connection-state=related comment="Accept related connections"
add chain=input connection-state=invalid action=drop comment="Drop invalid connections"
add chain=input protocol=icmp limit=50/5s,2 comment="Allow limited pings"
add chain=input protocol=icmp action=drop comment="Drop excess pings"
add chain=input protocol=tcp dst-port=22 comment="Accept SSH for secure shell"
add chain=input protocol=tcp dst-port=8291 comment="Accept Winbox access"
add chain=input protocol=udp dst-port=53 comment="Accept DNS Querry"
add chain=input action=log log-prefix="DROP INPUT" comment="Log everything else"
add chain=input action=drop comment="Drop everything else"
add chain=forward connection-state=established comment="Accept established connections"
add chain=forward connection-state=related comment="Accept related connections"
add chain=forward connection-state=invalid action=drop comment="Drop invalid connections"
add action=accept chain=forward comment="Allow Forward to WAN" disabled=no out-interface=ether1
add chain=forward action=log log-prefix="DROP FORWARD" comment="Log everything else"
add chain=forward action=drop comment="Drop everything else"

Damit der Router als DNS Server agieren kann, müssen Remote Requests erlaubt werden

/ip dns set allow-remote-requests=yes

Wenn der ISP IP Adressen über einen DHCP-Server vergibt, dann richten wir auf dem WAN-Interface (ether1) einen DHCP-Client ein

/ip dhcp-client add interface=ether1 add-default-route=yes use-peer-dns=yes disabled=no

Nutzt der Internet Service Provider PPPoE, dann richten wir einen PPPoE Client ein:

/interface pppoe-client add user=<PPPOE_USERNAME> password=<PPPOE_PASSWORD> interface=ether1 add-default-route=yes use-peer-dns=yes disabled=no

Abschließend aktivieren wir noch Masquerading für das LAN:

/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade

Einstellung NTP Service für Zeitsynchronisation

/system clock set time-zone=Europe/Berlin
/system ntp client set enabled=yes primary-ntp=<SERVER_IP_1> secondary-ntp=<SERVER_IP_2> mode=unicast

Nach Abschluss der Einstellungen, habt Ihr einen voll funktionsfähigen, auf einer Minimalkonfiguration basierenden Router mit Internetzugriff.

Abschluss

Damit ist unser Tutorial zu "MikroTik - Initial Setup Konfiguration" abgeschlossen. Wenn Sie Fragen haben, senden Sie eine Mail an: //[[info@ksite.de|Ralf Kirchner]]//.

Quellen

  • Keine

Published by

Ralf Kirchner

Ralf Kirchner

beschäftigt sich mit Open-Source-Software, Linux, Windows und allen anderen Bereichen der Computertechnologie.