Last Updated:

MikroTik Router Initial Setup

Ralf Kirchner
Ralf Kirchner MikroTik

Dies ist eine grundlegende MikroTik-Konfiguration, die ich auf jedem neuen RouterBOARD implementiere. Sie sorgt für die Basissicherung des Routers, richtet die Internetverbindung ein und stellt diese dem lokalen Netzwerk zur Verfügung. In der Regel dient diese Konfiguration als Basis für weiterführende Setups, beispielsweise zur Standortvernetzung per VPN.

Voraussetzungen

  • Keine

Einrichtung

Für diese Anleitung kam ein RouterBOARD 750 zum Einsatz. Der LAN-Port 1 wird für die Internetverbindung eingerichtet, während die Ports 2 bis 5 als Switch-Ports für das lokale Netzwerk mit aktiviertem DHCP-Server dienen.

Auflistung aller Ports:

/interfaces print

Flags: D - dynamic, X - disabled, R - running, S - slave
# NAME TYPE MTU L2MTU MAX-L2MTU
0 ether1 ether 1500 1600 4076
1 ether2 ether 1500 1598 2028
2 ether3 ether 1500 1598 2028
3 ether4 ether 1500 1598 2028
4 ether5 ether 1500 1598 2028

Festlegen des Ports „ether2“ als Master-Port des Switches und Konfigurieren der Ports „ether3“ bis „ether5“ als Slave-Ports

/interface ethernet set 2 master-port=ether2
/interface ethernet set 3 master-port=ether2
/interface ethernet set 4 master-port=ether2

Zunächst wird ein Passwort für das Administratorkonto festgelegt.

/user set admin password=

Nun wird die IP-Adresse 172.16.3.254 dem LAN-Interface des Routers zugewiesen.

/ip address add address=172.16.3.254/24 interface=ether2

Der DHCP-Server wird nun mithilfe des Setup-Assistenten konfiguriert und anschließend gestartet.

/ip dhcp-server setup

Tragen Sie lediglich beim Punkt „dhcp Server interface:“ das LAN-Gerät „ether2“ ein. Die übrigen Einstellungen können unverändert bleiben. Die vollständige Ausgabe erscheint wie folgt:

[admin@MikroTik>] > /ip dhcp-server setup
Select interface to run DHCP server on
dhcp server interface: ether2
Select network for DHCP addresses
dhcp address space: 172.16.3.0/24
Select gateway for given network
gateway for dhcp network: 172.16.3.254
Select pool of ip addresses given out by DHCP server
addresses to give out: 172.16.3.1-172.16.3.253
Select DNS servers
dns servers: 8.8.8.8
Select lease time
lease time: 3d

Mit diesen Regeln wird die Firewall minimal konfiguriert.

/ ip firewall filter
add chain=input connection-state=established comment="Accept established connections"
add chain=input connection-state=related comment="Accept related connections"
add chain=input connection-state=invalid action=drop comment="Drop invalid connections"
add chain=input protocol=icmp limit=50/5s,2 comment="Allow limited pings"
add chain=input protocol=icmp action=drop comment="Drop excess pings"
add chain=input protocol=tcp dst-port=22 comment="Accept SSH for secure shell"
add chain=input protocol=tcp dst-port=8291 comment="Accept Winbox access"
add chain=input protocol=udp dst-port=53 comment="Accept DNS Querry"
add chain=input action=log log-prefix="DROP INPUT" comment="Log everything else"
add chain=input action=drop comment="Drop everything else"
add chain=forward connection-state=established comment="Accept established connections"
add chain=forward connection-state=related comment="Accept related connections"
add chain=forward connection-state=invalid action=drop comment="Drop invalid connections"
add action=accept chain=forward comment="Allow Forward to WAN" disabled=no out-interface=ether1
add chain=forward action=log log-prefix="DROP FORWARD" comment="Log everything else"
add chain=forward action=drop comment="Drop everything else"

Damit der Router als DNS-Server fungieren kann, müssen Anfragen aus dem Netzwerk zugelassen werden.

/ip dns set allow-remote-requests=yes

Falls der ISP die IP-Adressen per DHCP-Server zuweist, konfigurieren wir auf dem WAN-Interface (ether1) einen DHCP-Client.

/ip dhcp-client add interface=ether1 add-default-route=yes use-peer-dns=yes disabled=no

Verwendet der Internetdienstanbieter PPPoE, richten wir einen entsprechenden PPPoE-Client ein:

/interface pppoe-client add user=<PPPOE_USERNAME> password=<PPPOE_PASSWORD> interface=ether1 add-default-route=yes use-peer-dns=yes disabled=no

Zum Schluss schalten wir das Masquerading für das LAN ein:

/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade

Konfiguration des NTP-Dienstes zur Zeitsynchronisierung

/system clock set time-zone=Europe/Berlin
/system ntp client set enabled=yes primary-ntp=<SERVER_IP_1> secondary-ntp=<SERVER_IP_2> mode=unicast

Nach Abschluss der Konfiguration steht euch ein vollständig einsatzbereiter Router mit Internetzugang zur Verfügung, der auf einer Minimalinstallation basiert.

Abschluss

Damit ist das Tutorial zu “MikroTik Router Initial Setup” abgeschlossen. Wenn Sie Fragen haben, senden Sie eine Mail an ralf.kirchner@ksite.de

Quellen

  • Keine

Featured

Follow us

Authors

Tags