MikroTik Router Initial Setup

2 Minuten, 50 Sekunden

Das ist eine MikroTik Ersteinrichtung Konfiguration, die ich auf jedes neue RouterBOARD installiere. Mit dieser Konfiguration wird der Router grundlegend abgesichert, eine Internet-Verbindung eingerichtet und diese dem lokalen Netzwerk bereitgestellt. Diese Konfiguration nutze ich meistens als Ausgangspunkt für weitergehende Setup’s wie z.B. für Standortkopplung via VPN.

Voraussetzungen

  • Keine

Einrichtung

Für diese Anleitung habe ich ein RouterBOARD 750 genutzt. Das LAN-Port 1 wird als Internet Anbindung konfiguriert und die Port’s 2 bis 5 als Switch-Port’s für das lokale Netz mit DHCP Server. Switch Port’s konfigurieren

Auflistung aller Ports:

/interfaces print

Flags: D - dynamic, X - disabled, R - running, S - slave
# NAME TYPE MTU L2MTU MAX-L2MTU
0 ether1 ether 1500 1600 4076
1 ether2 ether 1500 1598 2028
2 ether3 ether 1500 1598 2028
3 ether4 ether 1500 1598 2028
4 ether5 ether 1500 1598 2028

Setzten von „ether2“ Port als Switch Master-Port und Port „ether3“ bis „ether5“ als Slave-Port

/interface ethernet set 2 master-port=ether2
/interface ethernet set 3 master-port=ether2
/interface ethernet set 4 master-port=ether2

Als erstes wird für den Admin Account ein Passwort gesetzt

/user set admin password=

Als nächstes wir die IP Adresse (172.16.3.254) für das LAN-Interface auf dem Router gesetzt

/ip address add address=172.16.3.254/24 interface=ether2

Nun wird der DHCP Server, mit Hilfe des Setup Assistent, eingerichtet und danach gestartet

/ip dhcp-server setup

Es muss nur bei „dhcp Server interface:“ das LAN-Device „ether2“ eingetragen werden. Alle anderen Parameter können so belassen werden. Die komplette Ausgabe sieht wie folgt aus:

[admin@MikroTik>] > /ip dhcp-server setup
Select interface to run DHCP server on
dhcp server interface: ether2
Select network for DHCP addresses
dhcp address space: 172.16.3.0/24
Select gateway for given network
gateway for dhcp network: 172.16.3.254
Select pool of ip addresses given out by DHCP server
addresses to give out: 172.16.3.1-172.16.3.253
Select DNS servers
dns servers: 8.8.8.8
Select lease time
lease time: 3d

Mit diesen Regeln wird die Firewall minimal konfiguriert.

/ ip firewall filter
add chain=input connection-state=established comment="Accept established connections"
add chain=input connection-state=related comment="Accept related connections"
add chain=input connection-state=invalid action=drop comment="Drop invalid connections"
add chain=input protocol=icmp limit=50/5s,2 comment="Allow limited pings"
add chain=input protocol=icmp action=drop comment="Drop excess pings"
add chain=input protocol=tcp dst-port=22 comment="Accept SSH for secure shell"
add chain=input protocol=tcp dst-port=8291 comment="Accept Winbox access"
add chain=input protocol=udp dst-port=53 comment="Accept DNS Querry"
add chain=input action=log log-prefix="DROP INPUT" comment="Log everything else"
add chain=input action=drop comment="Drop everything else"
add chain=forward connection-state=established comment="Accept established connections"
add chain=forward connection-state=related comment="Accept related connections"
add chain=forward connection-state=invalid action=drop comment="Drop invalid connections"
add action=accept chain=forward comment="Allow Forward to WAN" disabled=no out-interface=ether1
add chain=forward action=log log-prefix="DROP FORWARD" comment="Log everything else"
add chain=forward action=drop comment="Drop everything else"

Damit der Router als DNS Server agieren kann, müssen Remote Requests erlaubt werden

/ip dns set allow-remote-requests=yes

Wenn der ISP IP Adressen über einen DHCP-Server vergibt, dann richten wir auf dem WAN-Interface (ether1) einen DHCP-Client ein

/ip dhcp-client add interface=ether1 add-default-route=yes use-peer-dns=yes disabled=no

Nutzt der Internet Service Provider PPPoE, dann richten wir einen PPPoE Client ein:

/interface pppoe-client add user=<PPPOE_USERNAME> password=<PPPOE_PASSWORD> interface=ether1 add-default-route=yes use-peer-dns=yes disabled=no

Abschließend aktivieren wir noch Masquerading für das LAN:

/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade

Einstellung NTP Service für Zeitsynchronisation

/system clock set time-zone=Europe/Berlin
/system ntp client set enabled=yes primary-ntp=<SERVER_IP_1> secondary-ntp=<SERVER_IP_2> mode=unicast

Nach Abschluss der Einstellungen, habt Ihr einen voll funktionsfähigen, auf einer Minimalkonfiguration basierenden Router mit Internetzugriff.

Abschluss

Damit ist unser Tutorial zu "MikroTik - Initial Setup Konfiguration" abgeschlossen. Wenn Sie Fragen haben, senden Sie eine Mail an: //[[info@ksite.de|Ralf Kirchner]]//.

Quellen

  • Keine

Vor