Neulich auf der Suche nach einem stabilen Routernachfolger für einen Zyxel 334 Prestige, bzw. einem Linksys WRT (dd-wrt Firmware).
Die Routeranforderungen waren:
- Stabil
- Stabil
- Stabil
- Routermodell mit Gigabit Ports
- VPN onboard (PPTP,openVPN,..)
- Preis, Leistung, Stromverbrauch
- Modelle mit und ohne WLAN
Nach längerer suche habe ich ein Gerät gefunden das mir von der Leistungsbeschreibung gefiel. Eine Marke die mir bis dato nicht bekannt war, MikroTik.
Kurz und knapp, bin begeistert von den Möglichkeiten des Mikrotik Routers und seinem mitgelieferten RouterOS 🙂
- Verschiedene Konfigurationsmöglichkeiten (SSH,TELNET,Webinterface,Windows-Tool)
- Jeder Port kann einzeln konfiguriert (geroutet) werden
- Konfigurationsmöglichkeiten die ich (in diesem Preissegment) bei keinem anderen Gerät finden konnte
Bei der Konfiguration eines Mikrotik RB750GL habe ich mir folgende kurze Notizen gemacht, das Mikrotik Wiki und Forum sind hilfreich zur Erforschung des RouterOS Systems.
Mikrotik Defaults:
IP: 192.168.88.1
User: admin
Pass:
DHCP: 192.168.88.2-254
Kennwort setzen (aktiver User):
/password
Infos anzeigen (Uptime, Firmwarerelease..):
/system resource print
Portforwarding NAT :
/ip firewall nat add chain=dstnat dst-port=80 action=dst-nat protocol=tcp to-address=192.168.88.5 in-interface=ether1-gateway
Portforwarding PAT:
In diesem Beispiel wird von der WAN-Schnittstelle Port 12345, an den internen SSH-Server weitergeleitet..
/ip firewall nat add chain=dstnat dst-port=12345 action=dst-nat protocol=tcp to-address=192.168.88.5 in-interface=ether1-gateway to-port=22
NAT Regel löschen:
/ip firewall nat
print (Regeln anzeigen)
remove %regelnummer%
Adress lists erzeugen: (Netzeintrag zur Adress list hinzufügen)
/ip firewall address-list add list=list_simon address=196.238.32.2/28
/ip firewall address-list add list=list_simon address=196.238.18.33/29
DHCP Pool erzeugen:
/ip pool> add name=dhcp_pool1 ranges=192.168.8.100-192.168.8.150 next-pool=none
Zeitserver: NTP-Client Konfiguration (Zeitserver der PTB-DE)
/system ntp client set enabled=yes mode=unicast primary-ntp=192.53.103.104 secondary-ntp=192.53.103.104
Zeitserver: Zeitzone setzen
/system clock set time-zone-name=Europe/Vienna
Konfiguration sichern (Backup):
/system backup save
Danach per FTP verbinden auf den Router verbinden und per “ftp get” das *.backup File herunterladen.
PPTP-Server einrichten:
Ich verwende in diesem Beispiel denselben DHCP-Pool wir für die internen Clients, ein separater VPN-Pool ist auch möglich..
/ip dns set allow-remote-requests=yes
/ip firewall service-port set pptp disabled=no
/ip firewall filter add chain=input protocol=tcp dst-port=1723 action=accept
/ip firewall filter add chain=input protocol=gre action=accept
/interface ethernet set ether2-master-local arp=proxy-arp
/ppp profile add name=”pptp-profile” local-address=192.168.88.1 remote-address=dhcp_pool1 use-encryption=required dns-server=192.168.6.1
/interface pptp-server server set enabled=yes max-mtu=1460 max-mru=1460 authentication=mschap2 default-profile=pptp-profile
/ppp secret add name=”vpnuser1″ service=pptp password=”******” profile=pptp-profile
Aktive VPN Verbindungen anzeigen:
/ppp active print
SSH Port anpassen:
/ip service set ssh port=222
Service Ports anzeigen:
/ip service print
Flags: X – disabled, I – invalid
# NAME PORT ADDRESS CERTIFICATE
0 telnet 23
1 ftp 21
2 www 80
3 ssh 222
4 X www-ssl 443 none
5 X api 8728
6 winbox 8291
SSH von WAN erlauben:
/ip firewall filter add action=accept chain=input comment=”SSH Admin” dst-port=222 protocol=tcp
WICHTIG: Danach muss noch die “default Drop” an das Ende der Firewall Filter/Rules verschoben werden !
/ip firewall filter
print (Rule Number ansehen)
move 6 destination=5
Mikrotik Problemlösung:
SSH funktioniert nicht:
Beim SSH verbinden kommt die Meldung “ssh_exchange_identification: Connection closed by remote host”.
Eventuell beim Firmware Upgrade das Paket “security-5.xx-mipsbe.npk” vergessen ?!