MikroTik Initial Setup Konfiguration
Das ist eine MikroTik Ersteinrichtung Konfiguration, die ich auf jedes neue RouterBOARD installiere. Mit dieser Konfiguration wird der Router grundlegend abgsichert, eine Internet-Verbindung eingerichtet und diese dem lokalen Netzwerk bereitgestellt. Diese Konfig nutze ich meistens als Ausgangspunkt für weitergehende Setup’s wie z.B. für Standortkopplung via VPN.
Für diese Anleitung habe ich ein RouterBOARD 750 genutzt. Das LAN-Port 1 wird als Internet Anbindung konfiguriert und die Port’s 2 bis 5 als Switch-Port’s für das lokale Netz mit DHCP Server.
Switch Port’s konfigurieren
Auflistung aller Ports
/interfaces print Flags: D - dynamic, X - disabled, R - running, S - slave # NAME TYPE MTU L2MTU MAX-L2MTU 0 ether1 ether 1500 1600 4076 1 ether2 ether 1500 1598 2028 2 ether3 ether 1500 1598 2028 3 ether4 ether 1500 1598 2028 4 ether5 ether 1500 1598 2028
Setzten von „ether2“ Port als Switch Master-Port und Port „ether3“ bis „ether5“ als Slave-Port
/interface ethernet set 2 master-port=ether2 /interface ethernet set 3 master-port=ether2 /interface ethernet set 4 master-port=ether2
Als erstes wird für den Admin Account ein Passwort gesetzt
/user set admin password=
Als nächstes wir die IP Adresse (172.16.3.254) für das LAN-Interface auf dem Router gesetzt
/ip address add address=172.16.3.254/24 interface=ether2
Nun wird der DHCP Server, mit Hilfe des Setup Assistent, eingerichtet und danach gestartet
/ip dhcp-server setup
Es muss nur bei „dhcp Server interface:“ das LAN-Device „ether2“ eingetragen werden. Alle anderen Parameter können so belassen werden. Die komplette Ausgabe sieht wie folg aus:
[admin@MikroTik>] > /ip dhcp-server setup Select interface to run DHCP server on dhcp server interface: ether2 Select network for DHCP addresses dhcp address space: 172.16.3.0/24 Select gateway for given network gateway for dhcp network: 172.16.3.254 Select pool of ip addresses given out by DHCP server addresses to give out: 172.16.3.1-172.16.3.253 Select DNS servers dns servers: 8.8.8.8 Select lease time lease time: 3d
Mit diesen Regeln wird die Firewall minimal konfiguriert.
/ ip firewall filter add chain=input connection-state=established comment="Accept established connections" add chain=input connection-state=related comment="Accept related connections" add chain=input connection-state=invalid action=drop comment="Drop invalid connections" add chain=input protocol=icmp limit=50/5s,2 comment="Allow limited pings" add chain=input protocol=icmp action=drop comment="Drop excess pings" add chain=input protocol=tcp dst-port=22 comment="Accept SSH for secure shell" add chain=input protocol=tcp dst-port=8291 comment="Accept Winbox access" add chain=input protocol=udp dst-port=53 comment="Accept DNS Querry" add chain=input action=log log-prefix="DROP INPUT" comment="Log everything else" add chain=input action=drop comment="Drop everything else" add chain=forward connection-state=established comment="Accept established connections" add chain=forward connection-state=related comment="Accept related connections" add chain=forward connection-state=invalid action=drop comment="Drop invalid connections" add action=accept chain=forward comment="Allow Forward to WAN" disabled=no out-interface=ether1 add chain=forward action=log log-prefix="DROP FORWARD" comment="Log everything else" add chain=forward action=drop comment="Drop everything else"
Damit der Router als DNS Server agieren kann, müssen Remote Requests erlaubt werden
/ip dns set allow-remote-requests=yes
Wenn der ISP IP Adresen über einen DHCP-Server vergiebt, dann richten wir auf dem WAN-Interface (ether1) einen DHCP-Client ein
/ip dhcp-client add interface=ether1 add-default-route=yes use-peer-dns=yes disabled=no
Nutzt der Internet Service Provider PPPoE, dann richten wir einen PPPoE Client ein:
/interface pppoe-client add user=<PPPOE_USERNAME> password=<PPPOE_PASSWORD> interface=ether1 add-default-route=yes use-peer-dns=yes disabled=no
Abschließend aktivieren wir noch Maskerading für das LAN:
/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade
Einstellung NTP Service für Zeitsynchronisation
/system clock set time-zone=Europe/Berlin /system ntp client set enabled=yes primary-ntp=<SERVER_IP_1> secondary-ntp=<SERVER_IP_2> mode=unicast
Nach Abschluss der Einstellungen, habt Ihr einen voll funktionsfähigen, auf einer Minimalkonfiguration basierenden Router mit Internetzugriff.
Hallo Ralf,
Dein Beitrag ist ja schon ein paar Tage alt aber immer noch hoch aktuell. Danke dafür.
Aber eine Frage: Welche Regeln definierst Du, wenn Du einen sicheren Router haben willst, der sich selbst und das Netzwerk gegen unbefugten Zugriff und Angriffe von außen schützt, aber den Netzwerkteilnehmern alle Freiheiten lässt? (Vielleicht ähnlich einer Fritzbox)