Mikrotik gibt vor, dass bei aktiviertem secure mode die folgenden Vorgaben erfüllt werden:
Die Winbox nutzt also für den Schlüsselaustausch DH-1984 (DH=Diffie-Hellman) sowie die modifizierte und gehärtete RC4-drop3072 Verschlüsselung für die gesicherte Verbindung.
Wer den Router vor seiner VoIP-Telekommunikationsanlage durch einen Mikrotik-Router (NAT-Router) ersetzt und dessen SIP-Verbindungen dann nicht mehr funktionieren, dem kann wie folgt geholfen werden, indem er die SIP Regel deaktiviert:
Terminal: ip firewall service-port disable sip
Bad Block = defekter Datenblock, welcher nicht mehr nutzbar ist (weder Schreib- noch Lesbar).
Wie bei jeder Hardware die Speichermedien nutzen, nutzen auch Mikrotik-Geräte alle Arten von Speichern. Wer sich hier einen Überblick über die vom Speichermedium nicht mehr nutzbaren also weder für Schreib- noch für Leseoperationen verfügbaren Datenblöcke verschaffen will, geht beim Mikrotik wie folgt vor und kann sich diese in Prozent angeben lassen. Man verbindet sich mit der Winbox auf das Gerät und geht in die folgende Rubrik:
System>Resources
Wie man am Beispiel sieht, gibt es bei diesem Gerät 0,0% Bad Blocks.
Normis, vom Mikrotik-Support, gibt im Mikrotik-Forum einen Grenze von bis zu 0,5% Bad Blocks als unproblematisch an, wenn diese Prozent-Zahl nicht überschritten wird:
Vgl: https://forum.mikrotik.com/viewtopic.php?t=111330#p553375
“Up to 0.5% can be marked as bad from the factory already. This is normal and all flash manufacturers mark some sectors as bad, to avoid any software using them. The only issue is if you see the bad % increase every day. If it stays, it is normal.”
Übersetzt drückt er das folgende aus:
Bis zu 0,5% können bereits ab Werk als schlecht markiert werden. Dies ist normal und alle Flash-Hersteller markieren einige Sektoren als schlecht, um zu vermeiden, dass Software sie verwendet. Problematisch wird es, wenn die %-Zahlen täglich zunehmen. Wenn der Wert gleichbleibt, ist es normal.
UPNP = Universal Plug and Play = ~ automatische Portfreigabe
Jeder, der eine Spielekonsole im heimischen Netzwerk betreibt, wird sich über kurz oder lang mit UPNP auseinandersetzen müssen. Im folgenden eine kleine Anleitung, wie man diese automatischen Portfreigaben aktiviert, damit das Onlinespielen reibungslos funktioniert:
Die Konfiguration sieht bei unserem Testrouter so aus, dass ether1 = Wan-Port ist. Das interne Netzwerk wird in bridge1 gebündelt.
Als erstes verbindet man sich mit der Winbox auf den Router und geht dann nach IP>UPNP – Dort sieht es wie folgt aus:
Nun aktivieren wir UPNP, indem wir bei “Enabled” einen Haken setzen und “Apply” klicken:
Zum Schluss müssen wir noch nur noch festlegen, welche Interfaces zum internen und welche zum externen (Internet) Netzwerk gehören. Wie oben beschrieben, ist ether1 = Wan-Port und bridge1=internes Netzwerk. Hierfür gehen wir nach IP>UPNP und klicken auf den Button “Interfaces” und legen internal und external wie folgt fest:
Das war es auch schon.
Die automatischen geöffneten Ports werden dann in IP>Firewall>NAT angezeigt. Diese sind dann als “D”, also dynamisch erzeugt, gekennzeichnet. Das Ganze sieht dann z.B. so aus:
Viel Spass beim Zocken wünscht euch Euer Mikrotik-Blog.de Team ;)!
1 Nagstamon
2Ping-Einstellungen
3 Winbox-Einstellungen
Bei Nagstamon handelt es sich um einen Desktop Status Monitor, der eine Verbindung zu verschiedenen Überwachungs-Servern, wie z.B. Nagios, Icinga, Opsview, Centreon, Op5 Monitor/Ninja, Check_MK Multisite und Thruk, herstellen kann und sowohl für Windows, als auch Linux angeboten wird: https://nagstamon.ifw-dresden.de/
Will man in der Nagstamon-Anwendung einen Mikrotik-Host, der via Nagios als z.B. Down angezeigt, schnell via Rechtsklick per Ping oder Winbox erreichen, muss man vorab in den Einstellungen Actions definieren.
Die folgenden Actions wurde auf einer Ubuntu-Linux-Distribution (Versionsausgabe via cat /etc/issue gibt einem die System-Version aus: Ubuntu 14.04.5 LTS) und mit Nagstamon Version 2.0.1 funktional getestet. Da es sich bei der Winbox um ein natives Win32 Binary handelt, wird diese auf diesem System unter Zuhilfenahme von Wine genutzt.
Rechtsklick auf die Anwendung im SysTray > Settings > Action > New action drücken und das folgende Eingeben (ggf. alternativ die Einstellungen der Nagstamon Dokumentation: https://nagstamon.ifw-dresden.de/docs/actions/ )
Rechtsklick auf die Anwendung im SysTray > Settings > Action > New action drücken und das folgende Eingeben:
Es ist darauf zu achten, dass Sonderzeichen im Passwort richtig im String eingegeben werden:
Beispiel: wine64 /home/mikrotik-blog.de/Winbox.exe $ADDRESS$ IHR_NAME IHR_PASSWORT
Beispiel oben mit korrekt eingegebenem Beispiel-Namen/Passwort:
Name= Sam
Passwort= geheimesPasswort!!!
wine64 /home/mikrotik-blog.de/Winbox.exe $ADDRESS$ Sam geheimesPasswort\!\!\!
Gilt für RouterOS: v5, v6+
| Wan port | Lan port | Wireless mode | ht chain | ht extension | dhcp-server | dhcp-client | Firewall | NAT | Default IP | Mac Server | |
|---|---|---|---|---|---|---|---|---|---|---|---|
| RB750 RB750G | ether1 | Switched ether2-ether5 | – | – | – | auf dem LAN-Port | auf dem WAN-Port | Zugriff auf den WAN-Port wird blockiert | Masquerade wan port | 192.168.88.1/24 on lan port | Disabled on wan port |
| RB751 | ether1 | Switched ether2-ether5, bridged wlan1 with switch | AP b/g/n 2412MHz | 0,1 | above-control | auf dem LAN-Port | auf dem WAN-Port | Zugriff auf den WAN-Port wird blockiert | Masquerade wan port | 192.168.88.1/24 on lan port | Disabled on wan port |
| RB951 | ether1 | Switched ether2-ether5, bridged wlan1 with switch | AP b/g/n 2412MHz | 0 | above-control | auf dem LAN-Port | auf dem WAN-Port | Zugriff auf den WAN-Port wird blockiert | Masquerade wan port | 192.168.88.1/24 on lan port | Disabled on wan port |
| RB1100 AH/AHx2 | – | – | – | – | – | – | – | – | – | 192.168.88.1/24 on ether1 | – |
| RB1200 | – | – | – | – | – | – | – | – | – | 192.168.88.1/24 on ether1 | – |
| CCR series | – | – | – | – | – | – | – | – | – | 192.168.88.1/24 on ether1 | – |
| RB2011 | ether1 | two switch groups bridged (ether2-ether10, wlan1 if present) | – | – | – | auf dem LAN-Port | auf dem WAN-Port | Zugriff auf den WAN-Port wird blockiert | Masquerade wan port | 192.168.88.1/24 on ether1 | Disabled on wan port |
| CRS | – | all ports switched | – | – | – | – | – | – | – | 192.168.88.1/24 on ether1 | – |
| CRS with wireless | ether1 | all other ports switched and bridged with wireless | – | – | – | auf dem LAN-Port | auf dem WAN-Port | Zugriff auf den WAN-Port wird blockiert | Masquerade wan port | 192.168.88.1/24 on ether1 | Disabled on wan port |
| mAP | ether1 | bridged wireless | station b/g/n 2.4GHz | 0 | above control | auf dem LAN-Port | auf dem WAN-Port | Zugriff auf den WAN-Port wird blockiert | Masquerade wan port | 192.168.88.1/24 on lan port | Disabled on wan port |
| Wan port | Lan port | Wireless mode | ht chain | ht extension | dhcp-server | dhcp-client | Firewall | NAT | Default IP | Mac Server | |
|---|---|---|---|---|---|---|---|---|---|---|---|
| Groove 2Hn | wlan1 | ether1 | station b/g/n 2.4GHz | 0 | above control | auf dem LAN-Port | auf dem WAN-Port | Zugriff auf den WAN-Port wird blockiert | Masquerade wan port | 192.168.88.1/24 on lan port | Disabled on wan port |
| Groove 5Hn | wlan1 | ether1 | station a/n 5GHz | 0 | above control | auf dem LAN-Port | auf dem WAN-Port | Zugriff auf den WAN-Port wird blockiert | Masquerade wan port | 192.168.88.1/24 on lan port | Disabled on wan port |
| Groove A-5Hn | – | bridged wlan1,ether1 | AP a/n 5300MHz | 0 | – | – | – | – | – | 192.168.88.1/24 on lan port | – |
| Metal 5 | wlan1 | ether1 | station a/n 5GHz | 0 | above control | auf dem LAN-Port | auf dem WAN-Port | Zugriff auf den WAN-Port wird blockiert | Masquerade wan port | 192.168.88.1/24 on lan port | Disabled on wan port |
| Metal 2 | wlan1 | ether1 | station b/g/n 2GHz | 0 | above control | auf dem LAN-Port | auf dem WAN-Port | Zugriff auf den WAN-Port wird blockiert | Masquerade wan port | 192.168.88.1/24 on lan port | Disabled on wan port |
| SXT 5xx, SXT G-5xx |
wlan1 | ether1 | station 5GHz-a/n (5ghz-a/n/ac) | 0,1 | above control | auf dem LAN-Port | auf dem WAN-Port | Zugriff auf den WAN-Port wird blockiert | Masquerade wan port | 192.168.88.1/24 on lan port | Disabled on wan port |
| OmniTik | ether1 | Switched ether2-ether5, bridged wlan1 with switch | AP a/n 5300MHz | 0,1 | – | auf dem LAN-Port | auf dem WAN-Port | – | Masquerade wan port | 192.168.88.1/24 on lan port | – |
| SEXTANT | wlan1 | ether1 | station a/n 5GHz | 0,1 | above control | auf dem LAN-Port | auf dem WAN-Port | Zugriff auf den WAN-Port wird blockiert | Masquerade wan port | 192.168.88.1/24 on lan port | Disabled on wan port |
| BaseBox 5 | – | bridged wlan1,ether1 | AP a/n 5GHz | 0,1 | – | – | – | – | – | 192.168.88.1/24 on lan port | – |
| BaseBox 2 | – | bridged wlan1,ether1 | AP b/g/n 2GHz | 0,1 | – | – | – | – | – | 192.168.88.1/24 on lan port | – |
| QRT 2 | wlan1 | ether1 | station b/g/n 2.4GHz | 0,1 | above control | auf dem LAN-Port | auf dem WAN-Port | Zugriff auf den WAN-Port wird blockiert | Masquerade wan port | 192.168.88.1/24 on lan port | Disabled on wan port |
| QRT 5 | wlan1 | ether1 | station 5GHz-a/n | 0,1 | above control | auf dem LAN-Port | auf dem WAN-Port | Zugriff auf den WAN-Port wird blockiert | Masquerade wan port | 192.168.88.1/24 on lan port | Disabled on wan port |
| Wan port | Lan port | Wireless mode | ht chain | ht extension | dhcp-server | dhcp-client | Firewall | NAT | Default IP | Mac Server | |
|---|---|---|---|---|---|---|---|---|---|---|---|
| RB411xx, RB435G, RB433xx, RB495xx, RB800 |
– | – | – | – | – | – | – | – | – | 192.168.88.1/24 on ether1 | – |
| RB450xx | ether1 | Switched ether2-ether5 | – | – | – | auf dem LAN-Port | auf dem WAN-Port | Zugriff auf den WAN-Port wird blockiert | Masquerade wan port | 192.168.88.1/24 on lan port | Disabled on wan port |
| RB711-5xx, RB711G-5xx |
wlan1 | ether1 | station a/n 5GHz | 0 | above control | auf dem LAN-Port | auf dem WAN-Port | Zugriff auf den WAN-Port wird blockiert | Masquerade wan port | 192.168.88.1/24 on lan port | Disabled on wan port |
| RB711UA-5xx, RB711GA-5xx |
– | bridged wlan1,ether1 | AP a/n 5300MHz | 0 | – | – | – | – | – | 192.168.88.1/24 on lan port | – |
| RB711-2xx | wlan1 | ether1 | station b/g/n 2.4GHz | 0 | above control | auf dem LAN-Port | auf dem WAN-Port | Zugriff auf den WAN-Port wird blockiert | Masquerade wan port | 192.168.88.1/24 on lan port | Disabled on wan port |
| RB711UA-2xx | – | bridged wlan1,ether1 | AP a/n 2412MHz | 0 | – | – | – | – | – | 192.168.88.1/24 on lan port | – |
| RB911/912-2xx | wlan1 | ether1 | station b/g/n 2.4GHz | 0 | above control | auf dem LAN-Port | auf dem WAN-Port | Zugriff auf den WAN-Port wird blockiert | Masquerade wan port | 192.168.88.1/24 on lan port | Disabled on wan port |
| RB911/912-5xx | wlan1 | ether1 | station 5GHz-a/n (5GHz-a/n/ac) | 0,1 | above control | auf dem LAN-Port | auf dem WAN-Port | Zugriff auf den WAN-Port wird blockiert | Masquerade wan port | 192.168.88.1/24 on lan port | Disabled on wan port |
| RB921/922-2xx | wlan1 | bridged wireless with ethernets | station b/g/n 2.4GHz | 0,1 | above control | auf dem LAN-Port | auf dem WAN-Port | Zugriff auf den WAN-Port wird blockiert | Masquerade wan port | 192.168.88.1/24 on lan port | Disabled on wan port |
| RB921/922-5xx | wlan1 | bridged wireless with ethernets | station 5GHz-a/n (5GHz-a/n/ac) | 0,1 | above control | auf dem LAN-Port | auf dem WAN-Port | Zugriff auf den WAN-Port wird blockiert | Masquerade wan port | 192.168.88.1/24 on lan port | Disabled on wan port |
| RB953GS-5xx | ether1 | switched: sfp1,ether2,ether3 and bridged with wireless | ap-bridge 5GHz-a/n (5GHz-a/n/ac) | 0,1,2 | above control | auf dem LAN-Port | auf dem WAN-Port | Zugriff auf den WAN-Port wird blockiert | Masquerade wan port | 192.168.88.1/24 on lan port | Disabled on wan port |
Hinweis: Um das nach einem System Reset angewandte Konfigurations-Skript zu sehen, gibt man das folgende Kommando ein (die untenstehende Warnung sollte beachtet werden) /system default-configuration print
Warnung: /system default-configuration print zeigt immer die ab Werk Default Konfiguration an, sogar wenn diese von einem Netinstall Skript überschrieben wurde.
Wenn die CAP Default Konfiguration geladen ist, wird ‘ether1’ als Management Port mit konfiguriertem DHCP-Client gesetzt.
Alle anderen Ethernet Interfaces werden gebridged und ‘wlan1’ wird von CAPsMAN verwaltet
Wenn die Konfiguration vorgenommen wird, wird der WAN Port in “<wan port>-gateway” umbenannt. Wenn Beispielsweise ether1 der Wan Port ist, wird dieser in “ether1-gateway” umbenannt.
Lokale Ports können sein:
Wenn die Ports geswitched sind, wird der Master-Port in “<ethernet name>-master-local” umbenannt und die Slaves in “<ethernet name>-slave-local”.
Als Beispiel schaut man sich hierzu ein RB751 an. Auf dem Board ist ether1 als WAN Port konfiguriert und es verfügt über einen Switch Chip und ein vorkonfiguriertes Wlan-Interface. In diesem Fall sind alle Ports, bis auf ether1, in einer Switch Gruppe gruppiert und mit dem Wlan-Interface gebridged.
Die generierte Konfiguration sieht wie folgt aus:
/interface set ether2 name=ether2-master-local;
/interface set ether3 name=ether3-slave-local;
/interface set ether4 name=ether4-slave-local;
/interface set ether5 name=ether5-slave-local;
/interface ethernet set ether3-slave-local master-port=ether2-master-local;
/interface ethernet set ether4-slave-local master-port=ether2-master-local;
/interface ethernet set ether5-slave-local master-port=ether2-master-local;
/interface bridge add name=bridge-local disabled=no auto-mac=no protocol-mode=rstp;
:local bMACIsSet 0;
:foreach k in=[/interface find] do={
:local tmpPort [/interface get $k name];
:if ($bMACIsSet = 0) do={
:if ([/interface get $k type] = "ether") do={
/interface bridge set "bridge-local" admin-mac=[/interface ethernet get $tmpPort mac-address];
:set bMACIsSet 1;
}
}
:if (!($tmpPort~"bridge" || $tmpPort~"ether1" || $tmpPort~"slave")) do={
/interface bridge port add bridge=bridge-local interface=$tmpPort;
}
}
Die Wlan Konfiguration hängt vom Markt-Segment ab, für welches das Board designt ist. Es kann als AP oder Station in 2GHz oder 5GHz Frequenz. Die Standard-Frequenz in 2GHz ist 2412 und bei 5GHz 5300. Die SSID lautet “Mikrotik-” + die letzten 3 Bytes der Wlan MAC-Adresse in Hex. Startend mit RouterOS v5.25 und v6rc14 ist das Wlan Sicherheits-Profil mit WPA/WPA2 vorkonfiguriert. Der Sicherheitsschlüssel entspricht der Seriennummer des Routers.
Wenn die MAC-Adresse des wlan1 Interfaces 00:0B:6B:30:7F:C2 lautet und die Seriennummer des Boards die folgende ist
/sys routerboard print
routerboard: yes
serial-number: 0163008F8883
Die folgenden Einstellungen werden angewandt:
Hinweis: Beim Sicherheitsschlüssel ist die Groß-/Kleinschreibung zu beachten!
Wenn das Board über zwei Chains verfügt (dies kann man vom Zeichen D in der Namensbezeichnung ableiten) sind beide Chains aktiviert. Die HT Extension ist auf allen CPEs aktiviert.
Beispiels-Konfiguration auf dem RB751:
:if ( $wirelessEnabled = 1) do={
# wait for wireless
:while ([/interface wireless find] = "") do={ :delay 1s; };
/interface wireless set wlan1 mode=ap-bridge band=2ghz-b/g/n ht-txchains=0,1 ht-rxchains=0,1 \
disabled=no country=no_country_set wireless-protocol=any
/interface wireless set wlan1 channel-width=20/40mhz-ht-above ;
}
Die Default IP Adresse auf allen Baords ist die 192.168.88.1/24. Boards ohne festgelegte Konfiguration verfügt über eine auf ether1 gesetzte IP Adresse, andere Boards verfügen über eine IP Adresse auf dem LAN Interface.
Alle Boards verfügen über einen konfigurierten WAN Port und über einen auf diesem konfigurierten DHCP Client.
Typisch auf allen CPEs ist, dass ein DHCP-Server auf dem LAN-Port aktiv ist und dort IP-Adressen im Adressbereich 192.168.88.2-192.168.88.254 ausgegeben werden.
Ein als Beispiel auf einem RB751 angewandte DHCP Konfiguration.
/ip dhcp-client add interface=ether1-gateway disabled=no /ip pool add name="default-dhcp" ranges=192.168.88.10-192.168.88.254; /ip dhcp-server add name=default address-pool="default-dhcp" interface=bridge-local disabled=no; /ip dhcp-server network add address=192.168.88.0/24 gateway=192.168.88.1 dns-server=192.168.88.1 comment="default configuration";
Alle Boards mit einem konfigurierten WAN Port verfügen ebenso über eine Absicherung auf diesem Port. Jeder Datenverkehr, der den WAN Port verlässt, wird maskiert. In der Forward Chain wurden ebenso drei Regeln für Boards mit einer Maskierungsregel hinzugefügt: accept established, accept related und invalide gedroppt, damit keine Pakete mit lokaler IP über den WAN-Port verbreitet werden.
Konfigurationsbeispiel:
/ip firewall {
filter add chain=input action=accept protocol=icmp comment="default configuration"
filter add chain=input action=accept connection-state=established in-interface=ether1-gateway comment="default configuration"
filter add chain=input action=accept connection-state=related in-interface=ether1-gateway comment="default configuration"
filter add chain=input action=drop in-interface=ether1-gateway comment="default configuration"
nat add chain=srcnat out-interface=ether1-gateway action=masquerade comment="default configuration"
}
/tool mac-server remove [find];
/tool mac-server mac-winbox disable [find];
:foreach k in=[/interface find] do={
:local tmpName [/interface get $k name];
:if (!($tmpName~"ether1")) do={
/tool mac-server add interface=$tmpName disabled=no;
/tool mac-server mac-winbox add interface=$tmpName disabled=no;
}
}
/ip neighbor discovery set [find name="ether1-gateway"] discover=no
Jedes Board erlaubt Remote DNS Requests und verfügt über einen vom Router voreingestellten, statischen DNS Namen.
/ip dns {
set allow-remote-requests=yes
static add name=router address=192.168.88.1
}
[ Top | Back to Content ]
Categories:
RouterBOOT ist für das starten von RouterOS auf RouterBOARD Geräten verantwortlich.
Standardmäßig wird der main loader für den Start genutzt, RouterBOARD Geräte verfügen jedoch auch noch über einen zweiten (als Backup) Bootloader, welcher genutzt wird, wenn der main loader nicht funktioniert. Es ist möglich, den Backup Loader über Konfigurationseinstellungen im RouterOS aufzurufen:
system routerboard settings set force-backup-booter=yes
es ist außerdem möglich, den Backup Booter zu nutzen, wenn man das Gerät mit dem gedrückten RESET Button hochfährt. Manchmal erhält RouterBOOT Firmware Upgrades (siehe Changelog). Es ist außerdem möglich, den main RouterBOOT upzugraden. Im Falles eines Fehlers kann man den Backup Booter für den Start des Geräts nutzen und den main loader downgraden. Für Upgrade Instruktionen folgt man der separaten Anleitung in Manual:Bootloader upgrade
Der RouterBOOT Reset Button verfügt über drei Funktionen:
Hinweis: Wenn man den Button drückt, bevor man das Gerät an eine Stromquelle anschließt, wir zusätzlich zu allem oben genannten der Backup RouterBOOT genutzt. Um die oben genannten Schritte ohne den Backup Loader durchzuführen, drückt man den Button nachdem das Gerät mit einer Stromquelle verbunden wurde.
Für RouterBOARD Geräte die über die Funktion eines seriellen Konsolen Konnektor verfügen, ist es möglich, Zugriff auf das RouterBOOT loader Konfigurations-Menü zu erhalten. Das benötigte Kabel wird im Serial console Manual beschrieben. RouterBOARD serieller Port ist konfiguriert auf 115200bit/s, 8 data bits, 1 stop bit, no parity. Es wird empfohlen, den Hardware flow control zu deaktivieren.
Dieses Beispiel zeigt das Menü, welches auf RouterBOOT 3.19 verfügbar:
RouterBOOT booter 3.19
CCR1009-8G-1S-1S+
CPU frequency: 1200 MHz
Memory size: 2048 MiB
NAND size: 128 MiB
NAND partitions: 2
Press any key within 2 seconds to enter setup
RouterBOOT-3.19
What do you want to configure?
d - boot delay
k - boot key
s - serial console
n - silent boot
o - boot device
f - cpu frequency
r - reset booter configuration
e - format nand
w - repartition nand
y - active partition
g - upgrade firmware
i - board info
p - boot protocol
b - booter options
t - do memory testing
Die Optionen sind selbsterklärend.
| letter | description | explanation | |
|---|---|---|---|
| d | boot delay | Verzögert den Start von RouterOS um Interfaces die Initialisierung zu erlauben | |
| k | boot key | Der Button, welcher das Konfigurations-Menü öffnet | |
| s | serial console | Setzt die Baud-Rate des seriellen Ports | |
| n | silent boot | Unterdrückt jede Ausgabe auf dem seriellen Port, für den Fall, das daran ein Gerät verbunden ist (wie z.B. ein GPS Gerät oder Temperatur Monitor) | |
| o | boot device | Erlaubt die Aktivierung von Netinstall booting | |
| f | cpu frequency | Erlaubt die Anpassung von CPU/Memory Frequenzen | |
| r | reset booter configuration | Setzt die Einstellungen in diesem Menü zurück.Warnung, hier erfolgt keine Bestätigung! | |
| e | format nand | Zerstört alle Daten auf dem NAND, inklusive der RouterOS Konfigurations/Lizenz | |
| w | repartition nand | Für mehr Infos sollte man das Manual:Partitions zu Rate ziehen | |
| y | active partition | Auswahl der aktiven Partition von welcher versucht werden soll, RouterOS zu laden | |
| g | upgrade firmware | Erlaubt das Upgrade der RouterBOOT Version über das Netzwerk oder das XModem Protokoll | |
| i | board info | ||
| p | boot protocol | ||
| b | booter options | Auswahl welcher Bootloader standardmäßig genutzt werden soll | |
| t | do memory testing | Sehr einfaches Speicher-Test-Tool |
Drückt man das passende Tastatur-Zeichen gibt einem eine Liste mit weiteren Optionen aus, welche unten ersichtlich sind:
# d - boot delay:
Select boot delay:
1 - 1s
* 2 - 2s
3 - 3s
4 - 4s
5 - 5s
6 - 6s
7 - 7s
8 - 8s
9 - 9s
# k - boot key:
Select key which will enter setup on boot:
* 1 - any key
2 - <Delete> key only
# s - serial console:
Select baud rate for serial console:
* 1 - 115200
2 - 57600
3 - 38400
4 - 19200
5 - 9600
6 - 4800
7 - 2400
8 - 1200
9 - off
# n - silent boot:
Silent boot:
0 - off
* 1 - on
# o - boot device:
Select boot device:
e - boot over Ethernet
* n - boot from NAND, if fail then Ethernet
1 - boot Ethernet once, then NAND
o - boot from NAND only
b - boot chosen device
f - boot Flash Configure Mode
3 - boot Flash Configure Mode once, then NAND
# f - cpu frequency:
Select CPU frequency:
a - 200MHz
b - 400MHz
c - 600MHz
d - 800MHz
e - 1000MHz
* f - 1200MHz
# r - reset booter configuration:
# e - format nand:
Do you realy want to format your storage device?
that would result in losing all your data
type "yes" to confirm:
# w - repartition nand:
Select parititon count:
1 - partition
* 2 - partitions
3 - partitions
4 - partitions
# y - active partition:
Select active partiton:
* 0 - partition
1 - partition
# g - upgrade firmware:
Upgrade firmware options:
e - upgrade firmware over ethernet
s - upgrade firmware over serial port
# i - board info:
Board Info:
Board type: CCR1009-8G-1S-1S+
Serial number: 48FF01DDE6FD
Firmware version: 3.19
CPU frequency: 1200 MHz
Memory size: 2048 MiB
NAND size: 128 MiB
Build time: 2014-09-23 15:02:34
eth1 MAC address: 00:0C:42:00:BE:4A
eth2 MAC address: 00:0C:42:00:BE:4B
eth3 MAC address: 00:0C:42:00:BE:4C
eth4 MAC address: 00:0C:42:00:BE:4D
eth5 MAC address: 00:0C:42:00:BE:4E
eth6 MAC address: 00:0C:42:00:BE:4F
eth7 MAC address: 00:0C:42:00:BE:50
eth8 MAC address: 00:0C:42:00:BE:51
eth9 MAC address: 00:0C:42:00:BE:52
eth10 MAC address: 00:0C:42:00:BE:53
# p - boot protocol:
Choose which boot protocol to use:
* 1 - bootp protocol
2 - dhcp protocol
# b - booter options:
Select which booter you want to load:
* 1 - load regular booter
2 - force backup-booter loading
#t - do memory testing:
launches built in memory test!
# x - exit setup:
Exit bios configuration menu and continues with system startup.
RouterBOOT kann von RouterOS aus wie folgt upgegraded werden:
Hinweis: Wenn man eine andere Version installieren möchte, die nicht in der “routerboard.npk” inkludiert ist, uploadet man die aktuellste RouterBOOT Firmware auf den FTP des Routers. Die aktuellste Firmware ist auf routerboard.com verfügbar. Danach folgt man den oben genannten Schritten.
Dieses Kommando zeigt die aktuelle RouterBOOT Version des eigenen Geräts und das verfügbare Upgrade, welches entweder in der routerboard.npk enthalten ist oder man eine zum Gerät passende FWF Datei geuploadet hat:
[admin@MikroTik] > system routerboard print
routerboard: yes
model: "750"
serial-number: "1FC201DD513B"
current-firmware: "2.18"
upgrade-firmware: "2.20"
[admin@MikroTik] >
In diesem Fall sieht man, dass in der aktuellen RouterOS Version eine neuere Version der Bootloader Firmware verfügbar ist.
Hinweis: Der Downgrade ist genauso möglich, wenn man eine ältere *.FWF Datei uploaded.
Wenn es keine IP Verbindung auf das RouterBOARD gibt, kann man den seriellen Konsolen XMODEM Transfer nutzen, um eine FWF Datei auf den Router zu senden, während eine Verbindung via serieller Konsole besteht. Aus dem Bootloader Menü heraus ist es möglich, mit dieser Methode ein Upgrade der Firmware durchzuführen. Diese Methode ist die letzte Möglichkeit eine Verbindung herzustelle und man sollte diese nur nutzen, wenn die zwei vorigen Methoden nichtmehr verfügbar sind.
[ Top | Back to Content ]
Categories:
Cloud Hosted Router (CHR) ist eine RouterOS Version welche für den Betrieb als virtuelle Maschine konzipiert ist. Sie unterstützt die x86 64-Bit Architektur und kann auf den bekanntesten Hypervisoren (mikrotik-blog.de: https://de.wikipedia.org/wiki/Hypervisor) wie z.B. VMWare, Hyper-V, VirtualBox, KVM und anderen genutzt werden. CHR verfügt standardmäßig unbeschränkt über alle Funktionen von RouterOS aber unterscheidet sich im Lizenzierungsmodell von den anderen RouterOS Versionen.
Minimal-Anforderung ans System:
CHR wurde auf den folgenden Plattformen getestet:
Hinweis: Die Minimal-Anforderung sind 128MB RAM, um den Selbst-Installations-Prozess zu vollenden.
Warnung: Die minimal unterstützte CHR Version ist 6.34
Es werden vier verschiedene virtuelle Disk Images zur Auswahl gestellt:
Hinweis: Es handelt sich um Disk Images, also nicht um virtuelle Maschinen Appliances, die importiert werden können.
Der CHR verfügt über 4 Lizenz-Level:
Die kostenlose 60-Tage Probier-Lizenz ist für alle Lizenzstufen verfügbar. Um diese zu bekommen benötigt man ein Konto auf MikroTik.com da die komplette Lizenzverwaltung dort stattfindet.
Perpetual ist eine Lizenz auf Lebenszeit (einmal kaufen, für immer nutzen). Es ist möglich, eine perpetual Lizenz auf eine andere CHR Instanz zu übertragen.
Eine laufende CHR Instanz zeigt einem den Zeitpunkt an, wenn Sie eine Verbindung zu Mikrotiks Verwaltungsserver aufnehmen muss, um die Lizenz zu erneuern. Wenn es der CHR Instanz nicht möglich ist, die Lizenz zu erneuern, wird sich die CHR Instanz verhalten, als ob die Testphase abgelaufen wäre und erlaubt dann keine Upgrades auf neuere RouterOS Versionen mehr.
| License | Speed limit | Price |
|---|---|---|
| Free | 1Mbit/s | Kostenlos |
| P1 | 1Gbit/s | $45 |
| P10 | 10Gbit/s | $95 |
| P-Unlimited | Unlimited | $250 |
p1 (perpetual-1) Lizenz Level erlaubt der CHR eine unbegrenzte Laufzeit. Auf jedem Interface ist Sie auf 1Gbit/s im Upload begrenzt. Alle anderen von CHR zur Verfügung gestellten Funktionen sind nicht eingeschränkt. Es ist möglich, von p1 auf p10 oder p-unlimited Upzugraden. Nach dem das Upgrade käuflich erworben wurde, wird die Lizenz, für den späteren Gebrauch, im Konto zur Verfügung gestellt.
p10 (perpetual-10) Lizenz Level erlaubt der CHR eine unbegrenzte Laufzeit. Auf jedem Interface ist Sie auf 10Gbit/s im Upload begrenzt. Alle anderen von CHR zur Verfügung gestellten Funktionen sind nicht eingeschränkt. Es ist möglich, von p10 auf p-unlimited Upzugraden. Nach dem das Upgrade käuflich erworben wurde, wird die Lizenz, für den späteren Gebrauch, im Konto zur Verfügung gestellt.
Das p-unlimited (perpetual-unlimited) Lizenz Level erlaubt der CHR eine unbegrenzte Laufzeit. Es ist der höchste Lizenz-Rang (“Tier”) und es gibt keinerlei Beschränkungen.
Es gibt verschiedene Optionen um CHR kostenfrei auszuprobieren.
Das free (=kostenlos) Lizenz Level erlaubt der CHR eine unbegrenzte Laufzeit. Auf jedem Interface ist Sie auf 1Mbit/ss im Upload begrenzt. Alle anderen von CHR zur Verfügung gestellten Funktionen sind nicht eingeschränkt. Um diese zu nutzen, muss man nur die Disk Image Datei von Mikrotiks Download Seite herunterladen und einen virtuellen Gast erstellen.
Zusätzlich zur kostenlosen, aber eingeschränkten Free Installation, kann man außerdem die P1/P10/PU Lizenzen, mit erhöhten Geschwindigkeiten pro Interface, in einem Testzeitraum von 60 Tagen testen.
Hierfür wird ein Konto auf MikroTik.com benötigt. Danach kann man das anvisierte Lizenz Level für den Testzeitraum von 60 Tagen über den Router, der die RouterID dem Konto zuweist und somit den Erwerb der Lizenz, über das Konto, ermöglicht. Alle zum Kauf angeboten Lizenzstufen stehen als Testlizenzen zur Verfügung. Der Testzeitraum von 60 Tagen beginnt am Tag des Erwerbs. Nachdem der Testzeitraum abgelaufen ist, wird das Lizenz-Menü anfangen “Limited Upgrades” anzuzeigen. RouterOS kann ab diesem Zeitpunkt nicht länger mit Updates versorgt werden.
Wenn man plant, die ausgewählte Lizenz zu kaufen, muss dies innerhalb des 60tägigen Testzeitraums geschehen. Wenn der Testzeitraum endet und innerhalb von 2 weiteren Monaten kein Kauf erfolgt, wird das Gerät nicht länger im MikroTik Konto angezeigt. Danach muss man sich eine neue CHR Installation erstellen um einen Kauf im entsprechenden Zeitfenster durchzuführen.
Um eine Testlizenz anzufordern, muss man das folgende Kommando in der Kommandozeile des CHR Geräts eingeben: “/system license renew“. Man wird dann nach Nutzername und Passwort des eigenen Mikrotik.com Kontos gefragt.
Nach dem erstmaligen Setup wird der CHR Instanz eine free Lizenz zugewiesen. Von hier aus ist es möglich, die Lizenz auf ein höheres Level upzugraden. Wenn man einmal über die Testlizenz verfügt, wird alles weitere bzgl. Lizenz auf dem Account Server verwaltet. Dort ist es dann möglich, die Lizenz auf einen höheren Rang upzugraden bis zur man die p-unlimited Stufe erreicht hat.
Jedes erste Upgrade vom free Rang zu einer höheren Lizenzstufe erfordert die Registrierung der CHR Instanz auf dem Account Server. Dafür muss man seinen MikroTik.com Nutzernamen, Passwort und das gewünschte Lizenz Level, welches man erwerben will. Anschließend wird dem eigenen Konto, auf dem Mikrotik Server, eine CHR ID hinzugefügt, sowie eine 60 Tage gültige Testphase für diese ID erstellt. Es gibt zwei Wege, um eine Lizenz zu erhalten – entweder man nutzt die Winbox oder das RouterOS Kommandozeilen-Interface:
Wenn man die WinBox nutzt (System -> License menu):
Using command line interface:
[admin@MikroTik] > /system license print
system-id: 6lR1ZP/utuJ
level: free
[admin@MikroTik] > /system license renew
account: mymikrotikcomaccount
password: *********************
level: p1
status: done
[admin@MikroTik] > /system license print
system-id: 6lR1ZP/utuJ
level: p1
next-renewal-at: jan/10/2016 21:59:59
deadline-at: feb/09/2016 21:59:59
Um ein höheres Test-Level zu erhalten, setzt man eine neue CHR Instanz auf, erneuert die Lizenz und wählt das gewünschte Level aus.
Um ein Upgrade der Testlizenz auf eine Vollversion durchzuführen loggt man sich auf dem MikroTik.com Account Server ein und wählt ‘all keys’ in der Cloud Hosted Router (CHR) Rubrik aus:
Angezeigt wird dann eine Liste der eigenen CHR Maschinen und Lizenzen: 
Um ein Upgrade von der Testlizenz auf die Vollversion durchzuführen, klickt man ‘Upgrade’, wählt das gewünschte Lizenz Level aus (dieses kann sich vom Level der Testlizenz unterscheiden) und klickt ‘Upgrade key’:
Man wählt die Zahlungsmethode aus:
Es ist möglichüber einen Konto Restbetrag (deposit), Kredit Karte (KK), PayPal oder einen Restbetrag (Prepaid) Schlüssel (wenn man einen hat).
Aktuell ist nur ein Upgrade zu einem höheren Rang möglich (nur bei bezahlten Lizenzen) und dies wird auf dem Account Server vollzogen. Damit der Wechsel auf dem Router umgesetzt wird wird das renew Kommando genutzt. Wenn der Router bereits über eine beliebige Testversion oder eine bezahlte Lizenz verfügt, ist die Lizenzstufe, die man für den renew Befehl festgelegt, nicht mehr wichtig, sondern wird von den auf dem Account Server hinterlegten Daten festgelegt. Die möglichen Upgrades sind die folgenden:
Im ‘/system license’ Menü zeigt der Router an, wann next-renewal-at ist und er sich mit dem Lizenzserver von Mikrotik verbindet (licence.mikrotik.com). Der Kommunikationsversuch findet einmal pro Stunde nach dem dem Datum welches über next-renewal-at ausgegeben wird und wird nicht aufhören bist der Server mit einem Fehler antwortet. Wenn das deadline-at Datum erreicht ist ohne dass es einen erfolgreichen Kontakt zum Account Server gab wird der Router als abgelaufen werten und wird zukünftige Software Updates nichtmehr durchführen. Der Router wird jedoch weiterhin mit dem selben Lizenz Rang (Tier) wie zuvor arbeiten.
VMware ESXi unterstützt eine MTU bis zu 9000 bytes. Um daraus einen Vorteil zu erhalten, muss man seine ESXi-Installation anpassen, um eine höhere MTU zu ermöglichen. Der virtuellen Ethernet-Schnittstelle, die nach der MTU-Änderung hinzugefügt wird, wird vom ESXi-Server ordnungsgemäß die Weitergabe von Jumbo-Frames erlaubt. Interfaces, welche vor der MTU-Änderung auf dem ESXi-Server hinzugefügt wurden, werden vom ESXi-Server von der Weitergabe abgehalten (es wird weiterhin die alte MTU als maximale mögliche Größe gemeldet). Um dem vorzubeugen, muss man die Interfaces zu den virtuellen Gästen hinzufügen.
Beispiel. Es gibt zwei Interfaces, welche einem ESXi Gast hinzugefügt wurden. Die automatisch erkannte MTU auf den Interfaces zeigt die Größe an wie Sie zu der Zeit war, als das Interface hinzugefügt wurde:
[admin@chr-vm] > interface ethernet print Flags: X - disabled, R - running, S - slave # NAME MTU MAC-ADDRESS ARP 0 R ether1 9000 00:0C:29:35:37:5C enabled 1 R ether2 1500 00:0C:29:35:37:66 enabled
Wenn Linux-Bridge IGMP-Snooping unterstützt und es Probleme mit IPv6-Datenverkehr gibt, ist es erforderlich, diese Funktion zu deaktivieren, da sie mit MLD-Paketen interagiert (Multicast) und sie nicht weiterleitet.
echo -n 0 > /sys/class/net/vmbr0/bridge/multicast_snooping
Das Problem: Nach der Konfiguration der Software-Interfaces (VLAN, EoIP, bridge, etc.) auf dem Gast CHR stoppt die Datenweitergabe zu Zielen in der Außenwelt, also hinter dem Router.
Lösung: Man muss seine VMS (Virtualization Management System) Sicherheitseinstellungen prüfen, ob anderen MAC Adressen erlaubt werden, wenn Pakete mit VLAN Tags der Durchgang erlaubt wird. Man passt die Sicherheitseinstellungen entsprechend den eigenen Bedürfnissen an, wie zum Beispiel MAC-Spoofing oder bestimmte MAC-Adressbereiche. Für VLAN-Schnittstellen können in der Regel zulässige VLAN-Tags oder VLAN-Tag-Bereiche definiert werden.
[ Top | Back to Content ]
Categories:
RouterBOARD (Kurzversion RB)
<board name> <board features>-<built-in wireless> <wireless card features>-<connector type>
-<enclosure type>
Aktuell gibt es drei Typen von Board-Bezeichnungen:
Die Board Funktionen folgen direkt nach der Board Namen Rubrik (kein Freizeichen oder Bindestrich), ausser wenn der Board Name ein Wort ist, dann werden die Board Funktionen mit Leerzeichen separiert.
Aktuell genutzte Funktionen (die Liste entspricht der Reihenfolger ihrer Nutzung):
Wenn das Board über eine integrierte Wlan-Schnittstelle verfügt, werden alle Funktionen im folgenden Format dargestellt::
<band><power_per_chain><protocol><number_of_chains>
Im folgenden eine Übersetzung einer RouterBOARD-Bezeichnung anhand des RB912UAG-5HPnD
CloudCoreRouter (Kurzversion CCR) Bezeichnungen bestehen aus:
<4 digit number>-<list of ports>-<enclosure type>
CloudRouterSwitch (Kurzversion CRS) Bezeichnungen bestehen aus:
<3 digit number>-<list of ports>-<built-in wireless card>-<enclosure type>
[ Top | Back to Content ]
Categories:
Wenn man RouterOS auf einem PC installiert hat (d.h. es ist kein RouterBoard), verfügt man zuallererst über keinen Schlüssel, hat dann aber 24Std die Möglichkeit, den Router ohne Einschränkungen zu nutzen und zu testen. Während dieses Zeitfensters kann man den Router mit einer IP-Adresse konfigurieren, z.B. die 10.1.0.133, um dann einen Schlüssel über den www.mikrotik.com Konto-Server zu kaufen. Diesen gibt man dann, wie in der folgenden, kurzen Anleitung ein:
Categories:
