RouterOS – Teststellung, Demo

RouterOS – Teststellung

Für einen ersten Eindruck von RouterOS, dessen Administration via Browser (=“Webfig“ genannt) und Winbox (=Administrations-GUI) gibt es direkt eine von Mikrotik online gestellte Demo, auf die man sich verbinden kann, um selbst mal zu testen. Dort kann alles angeklickt und ausprobiert werden ohne dass etwas kaputtgeht. Wichtige Administrationselemente sind allerdings gesperrt.

Browser-Link:

http://demo.mt.lv/ oder http://demo2.mt.lv/webfig/

Winbox:

Natürlich kann man die Demo auch mit der Winbox ausprobieren. Zwei alternative Verbindungsmethoden sind möglich (der User ist jeweils „demo“ und ein Passwort wird nicht benötigt):

via demo.mt.lv:

Mikrotik Demo - via demo.mt.lv

Mikrotik Demo - via demo.mt.lv

via demo2.mt.lv:

mikrotik-demo2

mikrotik-demo3

 

 

 

Veröffentlicht unter Teststellung/Demo | Verschlagwortet mit , , , , , , , , , , , , | Hinterlasse einen Kommentar

Mikrotik Datenanalyse mit Wireshark

Datenanalyse am Mikrotik-Router unter Zuhilfenahme von Wireshark

Oftmals ist es nötig, für Netzwerkprobleme eine nähere Datenanalyse vorzunehmen. Mikrotik hat hier viele Werkzeuge direkt an Bord, aber manchmal möchte man auf das mächtige Wireshark einfach nicht verzichten. Ziel ist es also, Mithilfe des extern aktiven Wiresharks eine Datenanalyse am Mikrotik vorzunehmen. Hierfür geht man wie folgt vor:

Im der vorliegenden Teststellung sind die Ports 2-4 an einem RB951-Ui-2HnD in einer Bridge gebündelt, auf welcher wiederum ein DHCP-Server aktiv ist. von diesem werden IP’s aus dem Pool 192.168.2.2-192.168.2.254 ausgegeben.

Unser Testlaptop ist mit Port 3 verbunden und hat die IP 192.168.2.254 bezogen.

Auf dem Laptop ist Wireshark aktiv und das Ziel ist, Wireshark Zugriff auf die Interfaces am Router und somit den Datenverkehr zu geben. Über Start und Stop kann man dann das Datenmitlesen zulassen und beenden und im Reiter>Filter das Ganze dann auch noch auf diverse MAC/IP-Protokolle oder Adressen eingrenzen.

Über die Winbox findet man den Packet Sniffer wie folgt: Tools>Packet Sniffer

mikrotik-blog-de-tools mikrotik-blog-de-packet-sniffer mikrotik-blog-de-packet-sniffer-settings mikrotik-blog-de-packet-sniffer-settings-ip

Wie auf dem letzten Bild zu ersehen, kann hier dann ausgewählt werden, welches Interface man via Wireshark genauer inspizieren will.

mikrotik-blog-de-packet-sniffer-settings-interface

Will man die Daten eines Clients analysieren, geht man wie folgt vor (als Beispiel der Client mit der IP 192.168.2.15):

mikrotik-blog-de-packet-sniffer-settings-interface-client

Veröffentlicht unter Wireshark Datenanalyse | Verschlagwortet mit , , , , , , , , , , , , , , , , , , , , , , , , | Hinterlasse einen Kommentar

Opera VPN-Dienst auf Mikrotik-Router blockieren

Blockierung von Operas (ab Version 40) VPN-Dienst auf einem Mikrotik-Router

Ein VPN-Dienst ist natürlich eine gute Sache, manchmal ist dessen Nutzung aber privater Natur, an Orten, wo es nicht erlaubt ist (z.B. an der Arbeitsstelle). Um diesen dort zu blocken müssen nur drei Regeln in den Firewall-Filtern erstellt werden, die den Kontakt zum VPN-Dienst unterbinden.

/ip firewall filter
add action=drop chain=forward dst-address=185.137.18.0/24 log=yes log-prefix=\
    Opera-VPN-geblockt out-interface=ether1 protocol=tcp
add action=drop chain=forward dst-address=185.137.19.0/24 log=yes log-prefix=\
    Opera-VPN-geblockt out-interface=ether1 protocol=tcp
add action=drop chain=forward content=api.surfeasy.com dst-port=80,443 log=\
    yes log-prefix=surfeasy.com out-interface=ether1 protocol=tcp
add action=accept chain=forward dst-address=0.0.0.0/0 out-interface=ether1

Die erste Regel besagt, dass jeder Verbindungsaufbau auf das Zielnetz (=dst-address) verworfen wird und gleichzeitig im Log eine Meldung mit „Opera-VPN-geblockt“ angezeigt wird.
Das ausgehende Interface ist in dieser Teststellung ether1, hier muss dann das entsprechend passende gewählt werden.
Die Regel bezieht sich auf TCP als Protokoll.

Da der Dienst auf zwei IP-Netzen basiert, wurden beide Netze mit den identischen Regel blockiert.

Für den Fall das diese IP-Netze wechseln werden zudem API-Zugriffe auf die VPN-Dienst-Domain mit einem Content-Filter verworfen, egal, ob dies via Port 80 oder Port 443 geschieht.
Im Logfile wird dies dann mit „XXX.com“ kommentiert.
Das ausgehende Interface ist entsprechend ether1 und muss entsprechend angepasst werden.

Da diese Regeln hierarchisch abgearbeitet werden müsste abschließend nicht unbedingt noch angesagt werden, dass der Zugriff in Richtung Internet (0.0.0.0/0) erlaubt ist, wenn die vorher genannten Regeln nicht zutreffen.


English version of the text above – Blocking Opera VPN on your Mikrotik

Since it is not allowed to use a VPN privately e.g. in a company (where it is not allowed) here you will find a method to block this service

The first rule states that any connection to the target network (= dst-address) is discarded. You see this with the following message in your log: „Opera VPN blocked“
Outgoing interface in this test position: Ether1 (here you should choose your outgoing interface
The rule applies to tcp-protocol.

Since the service is based on two IP networks, both networks were blocked with the identical rule.

Switch in the event that these IP networks change, there is also a implementation of api access reject. There is a simple contentfilter. There it is no matter which port they choose (80 or 443)
You will see this in your log with the following message: „surfeasy.com
Outgoing interface in this test position: Ether1 (here you should choose your outgoing interface

Since these rules have to be processed hierarchically it’s finally not necessary to set the last rule, with an access towards the Internet (0.0.0.0/0) when the rules above doesn`t match.

For the case, that you use the Opera VPN-Service for your own privacy and security, please note the following:

A number of sites and blogs had reported that is e.g. possible that your personal IP will be published although you use the Opera VPN-service to prevent this. This should not be in your interest. Please inform you through the web. Here are a few kewords to search how to`s against it: Opera VPN WebRTC, Opera WebRTC, Opera WebRTC leak prevent, Opera disable WebRTC, Opera prevent


Übersicht über Operas neuen VPN-Dienst – Ab Version 40

Seit dem Release der Version 40 des Opera-Browsers (19.09.2016) verfügt der User über die Möglichkeit sich über einen in den Browser integrierten VPN-Dienst „sicher“ zu surfen. Wenn der Dienst aktiviert wird, baut dieser eine sichere Verbindung zu einem von Operas fünf Server-Lokationen rund um die Welt auf. Mit der Option „Optimaler Standort“ wird der nächstgelegene Server genutzt, ansonsten kann frei zwischen den möglichen Server-Lokationen gewählt werden. Opera verspricht einem mit diesem Dienst ein Plus an Privatsphäre und Sicherheit.

Hinweis: Auf mehreren Websites und Blogs wird darüber berichtet, dass auch bei der Nutzung des Opera-VPN-Dienstes die Möglichkeit besteht, dass Ihre IP bekannt werden kann, die eigentlich verschleiert werden soll. Um hier auch weiterhin Ihre Privatsphäre und Sicherheit zu gewährleisten, erkundigen Sie sich bitte im Netz, ob bei Ihnen ihre IP ermittelbar ist und wenn ja, wie man dies abstellt. Mögliche Stichworte für die diesbezügliche Suche könnten sein: Opera VPN WebRTC, Opera WebRTC, Opera WebRTC leak prevent, Opera disable WebRTC, Opera prevent

Aktivierung des Opera VPN Dienstes im Opera Browser:

Der VPN-Dienst lässt sich wie folgt aktivieren:

Browser aufrufen -> Menü -> Einstellungen -> Datenschutz & Sicherheit -> VPN anklicken.

Aus dem Beitext geht folgendes hervor:

Der VPN-Dienst wird von dem von Opera zugekauften Unternehmen Namens „SurfEasy Inc.“ mit Sitz in Kanada realisiert.

Quellen bzgl. des Opera-Browsers:

  • Beitext aus den Einstellungen des Opera Browsers
  • Opera Blog (http://www.opera.com/blogs/desktop/2016/09/free-vpn-in-opera-browser-40/)
Veröffentlicht unter Opera VPN blockieren | Verschlagwortet mit , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , | Hinterlasse einen Kommentar

CloudRouterSwitch – CRS

6. Bezeichnung von CloudRouterSwitch (CRS):
Es erfolgt hier wieder eine Zeichenunterteilung. Das erste Zeichen steht für die Serie, die zweiten und dritten Zeichen stehen für die Schnittstellen (Ethernet, SFP, SFP+)
nG=Gigabit-Ethernet-Schnittstellen, wobei n für die Anzahl steht
nS=SFP-Schnittstellen, wobei n für die Anzahl steht
nS+=SFP+-Schnittstellen, wobei n für die Anzahl steht

Veröffentlicht unter CRS | Hinterlasse einen Kommentar

CloudCoreRouter – CCR

5. Bezeichnung von CloudCoreRouter (CCR):
Es erfolgt hier wieder eine Zeichenunterteilung. Das erste Zeichen steht für die Serie, das zweite (reserved) und die Zeichen drei und vier für die CPU-Kerne auf dem Gerät.
nG=n=zeigt die Anzahl der Gigabit-Ethernet-Schnittstellen an
nS=n=zeigt die Anzahl der SFP-Schnittstellen an
nS+=n=zeigt die Anzahl der SFP+-Schnittstellen an
PC=PassiveCooling=passiv kühlendes Gehäuse

Die Gehäusetypen richten sich nach den oben genannten Gehäusebezeichnungen

Veröffentlicht unter CCR | Hinterlasse einen Kommentar

Gehäusetypen

3. Bezeichnung von Gehäusetypen:
BU=board unit=Kein Gehäuse, Bedarf für solche Fälle dürfte es immer dann geben, wenn man eigene Gehäuse entwickelt, bastelt, usw.
RM=Rack-Mount-Gehäuse=Für den 19″ Rechnerschrank im Rechenzentrum oder Zuhause
IN=Gehäuse für den Innenbereich
OUT=Gehäuse für den Außenbereich
EM=Erweiterter RAM
LM=weniger RAM
BE=Black Edition=Das Gehäuse ist schwarz
TC=Vertikales „Tower“-Gehäuse
PC=PassiveCooling=passiv kühlendes Gehäuse

Veröffentlicht unter Gehäusetypen | Hinterlasse einen Kommentar

Funksysteme – Wlan/Wireless

Bezeichnung von in den Geräten integrierten Funk/Wireless-Eigenschaften:

Frequenzband:
5 – 5Ghz
2 – 2.4Ghz
52 – Dual Band – Es ist der Betrieb von 5Ghz oder 2.4Ghz möglich

Sendeleistung der Antennen:
H=High (23-24dBm bei 6Mbit/s 802.11a; 24-27dBm bei 6Mbit/s 802.11g)
HP=High Power (25-26dBm bei 6Mbit/s 802.11a; 28-29dBm bei 6Mbit/s 802.11g)
SHP=Super High Power (27+dBm bei 6Mbit/s 802.11a; 30+dBm bei 6Mbit/s 802.11g)

Anzahl der Antennen:
D=dual chain=2x2mimo
T=triple chain=3x3mimo

802.11 Protokoll:
n=Unterstützung von 802.11n
ac=Unterstützung von 802.11ac

Bezeichnung von Konnektortypen (=Verbindung von Antenne mit Board):
MMCX=MMCX-Konnektortyp, von der Befestigung her fester, als u.FL
u.FL=u.FL-Konnectortyp=flacher Anschluss, von der Befestigung her nicht so stabil, wie MMCX

Bezeichnung von SMA-Steckverbindungen und wie man diese unterscheidet:
SMA=SMA-Steckverbindung=Gewinde innen+männlich
RPSMA=Reverse Polarity-SMA, also umgedreht=Gewinde innen+weiblich


Bezeichnungen im Außenbereich:

SA=Sektor-Antenne (SXT)
HG=High Gain=Hoher Antennengewinn (SXT)
BB=BaseBox-Gehäuse für RB911
NB=NetBox-Gehäuse für RB911
NM=NetMetal-Gehäuse für RB911
QRT=QRT-Gehäuse für RB911
SX=Sextant-Gehäuse für RB711/RB911
PB=PowerBOX-Gehäuse für RB750P/RB950P

Beispiel: RB953GS-5HnT-RP
RB=RouterBOARD
953GS=Serie 9, 5 Gigabit- und 1 SFP-Schnittstelle(n), sowie 3 Funk/Wireless-Schnittstellen (eine ist verbaut und weitere zwei PCIe-Steckplätze stehen für weitere Funkkarten bereit)
5HnT=5GHz (mit Sendeleistung=)High (siehe auch oben unter „High“), mit 802.11n-Unterstützung und 3x3mimo(=Triple Chain)
-RP=RPSMA-Steckverbindung

Veröffentlicht unter Funksysteme | Hinterlasse einen Kommentar

RouterBOARD

Erläuterung der Produktbezeichnungen bei RouterBOARD-Hardware:

U=USB
P=Power=PoE-Out an mehreren Ports, kombiniert mit einem Controller, der den Stromverbrauch anzeigt.
i=PoE-Out an einem Port, ohne Controller, idR sind diese Ports gelb markiert
A=mehr RAM und für gewöhnlich ein höheres Lizenz-Level
H=Leistungsfähigere CPU
G=Gigabit-Port(s)
L=einfache (von „light“) Ausführung
S=SFP-Port(s)
e=zusätzlicher Slot für PCIe-Karten
xN=N steht hier als Platzhalter für die Anzahl der CPU-Kerne (RB850Gx2=2 CPU-Kerne)
R=miniPCI- oder miniPCIe-Steckplatz
r2=revision2=Version 2

Veröffentlicht unter RouterBOARD | Hinterlasse einen Kommentar

R11e-2HnD

R11e-2HnD

2Ghz miniPCI-express, 802.11b/g/n dual chain, 800mW, 2x u.Fl

Veröffentlicht unter R11e-2HnD | Verschlagwortet mit | Hinterlasse einen Kommentar

R11e-5HacT

R11e-5HacT

5Ghz miniPCI-e, 802.11ac/a/n tripple chain, 3x MMCX

Veröffentlicht unter R11e-5HacT | Verschlagwortet mit | Hinterlasse einen Kommentar