Erstkonfiguration/ Initial Configuration

Handbuch:Erstkonfiguration

Inhalte

  • 1 Zusammenfassung
  • 2 Netzwerkkabel verbinden
  • 3 Routerkonfiguration
    • 3.1 Einloggen auf dem Router
    • 3.2 Router Nutzerzugänge
    • 3.3 Zugang zum Internet konfigurieren

      • 3.3.1 DHCP Client
      • 3.3.2 Statische IP Adresse
      • 3.3.3 Konfiguration der Netzwerk-Adress-Übersetzung (NAT)
      • 3.3.4 Standard Gateway
      • 3.3.5 Auflösung von Domainnamen in IP Adressen
      • 3.3.6 SNTP Client
    • 3.4 Wlan konfigurieren

      • 3.4.1 Status der Ethernet Schnittstelle prüfen
      • 3.4.2 Sicherheitsprofil
      • 3.4.3 Wlan-Einstellungen
      • 3.4.4 LAN und Wlan via Bridge verbinden
  • 4 Fehlersuche und weitergehende Konfiguration

    • 4.1 Allgemein
      • 4.1.1 IP Adresse prüfen
      • 4.1.2 Passwort für den aktuellen Nutzer ändern
      • 4.1.3 Passwort eines existierenden Nutzers ändern
      • 4.1.4 Kein Zugang zum Internet oder zum Netzwerk des ISP
      • 4.1.5 Verbindung prüfen
    • 4.2 Wlan
      • 4.2.1 Frequenzen und Kanalbreite
      • 4.2.2 Nutzung der Wlan-Frequenzen
      • 4.2.3 Ländereinstellungen ändern
    • 4.3 Port Weiterleitung

      • 4.3.1 Statische Konfiguration
      • 4.3.2 Dynamische Konfiguration
    • 4.4 Zugang zu Websites beschränken

      • 4.4.1 Webproxy für Seitenfilterung aufsetzen
      • 4.4.2 Zugangsregeln konfigurieren
      • 4.4.3 Strategien für Einschränkungen

 

1 Zusammenfassung


Herzlichen Glückwunsch zu Ihrem MikroTik Router für ihr Heimnetzwerk. Dieser Leitfaden wird Ihnen helfen, ihren Router erstmalig zu konfigurieren, damit Ihr Heimnetzwerk ein sicherer Platz bleibt.

Der Leitfaden zielt darauf ab, dass wenn die Ab-Werk-Default-Konfiguration Sie nicht direkt ins Internet bringt, trotzdem partiell nützliche Hinweise für Sie bereitzustellen.

 

2 Netzwerkkabel verbinden


Die Erstkonfiguration des Routers sollte für die meisten Fälle ausreichend sein. Die Beschreibung der Standard-Konfiguration finden Sie sowohl auf der Rückseite der Box vor, als auch in der Online-Anleitung.

Der beste Weg für die Verbindung des Netzwerkkabels ist jene, die auf der Verpackungsbox beschrieben wird:

  • Als erstes verbindet man das Ethernetkabel des Internet Service Provider (ISP) mit der Schnittstelle ether1 (am Router), die restlichen Schnittstellen/Ports am Router sind dem  local area network (LAN) vorbehalten. Ab diesem Moment wird der Router mit Hilfe der Ab-Werk Firewall Konfiguration abgesichert, man muss sich darum also nicht mehr kümmern.
  • Danach verbindet man die LAN-Kabel der Endgeräte mit den restlichen, dem LAN vorbehaltenen Schnittstellen/Ports.

 

3 Routerkonfiguration


Ab Werk befindet sich auf der WAN-Schnittstelle (ether1) ein DHCP-Client und die restlichen  ether-Schnittstellen sind einem DHCP-Server zugeordnet, welcher für die automatische Adressvergabe an die Clients konfiguriert ist. Um Zugriff auf den Router zu bekommen muss das Endgerät automatisch die DHCP-Konfiguration akzeptieren und mit dem Netzwerkkabel an einen der LAN-Ports verbunden werden (vorab kann über routerboard.com oder über die Frontblende des gekauften Routers die Portnummerierung ausfindig gemacht werden).

3.1 Auf dem Router einloggen

Für den Zugriff auf den Router gibt man 192.168.88.1 im Browser ein. Die RouterOS Eingangsseite wird angezeigt, wie auf dem Screenshot ersichtlich. Als nächstes wählt man auf  WebFig aus der Liste aus.

initial_screen_webfig

Es wird nach Login-Name und Passwort für den Administrationszugang gefragt. Der Standard-Login-Name lautet admin und das Passwort-Feld kann so leer belassen werden, wie es ist. Es wird kein Passwort benötigt.

webfig_login

3.2 Router Nutzer Zugänge

Für’s Erste ist es am sinnvollsten ein neues Passwort zu vergeben und/oder einen neuen Nutzer anzulegen, damit der Router-Zugriff nicht für jeden Nutzer im Netzwerk möglich ist. Neue Nutzer anlegen und die Passwortvergabe erfolgt im folgenden Menü:

System -> Users

goto_system

Um dieses Menü zu erreichen klickt man auf System, im Bedienfeld auf der linken Seite, und im aufgehenden Menü wählt man Users (wie auf dem obigen Screenshot ersichtlich) aus.
Im darauffolgende Bildschirm ist dann die Nutzerverwaltung ersichtlich. Dort können Nutzer editiert oder neu angelegt werden:

  • Wenn man auf den Nutzernamen klickt (in diesem Fall admin), wird der Editier-Bildschirm angezeigt.
  • Wenn man auf den Add new Button klickt, wird der Bildschirm für das neu anlegen von Nutzern angezeigt.
users_management

Beide Anzeigen sind ähnlich, wie man auf der unten ersichtlichen erkennen kann. Nach dem anpassen der Nutzerdaten ist es möglich dies mit OK zu bestätigen oder mit Cancel zu verwerfen. Beide Aktionen bringen einen zurück zur anfänglichen Bildschirm mit der Nutzerverwaltung.

ediit_create_user

Im Nutzerbildschirm edit/Add new kann man sowohl exisitierende Nutzer ändern als auch neue anlegen. Das mit 2. markierte Feld ist das Nutzer-Namen-Feld. Feld 1. öffnet den Bildschirm für die Passwortvergabe, in welchem Passwörter geändert oder ein neues eingegeben werden kann (wie im folgenden ersichtlich):

change_password_user_edit

3.3 Zugang zum Internet konfigurieren

Wenn die Erstkonfiguration nicht funktioniert (weil der ISP keinen DHCP-Server für die automatische Konfiguration anbietet) werden Daten vom ISP benötigt, um eine statische Konfiguration des Routers vorzunehmen. Diese Daten sollten beinhalten:

  • Nutzbare IP Adresse
  • Netzwerkmaske für die IP Adresse
  • Standard Gatewaye Adresse

Weniger wichtige Einstellungen für die Routerkonfiguration:

  • DNS Adresse für die Namensauflösung
  • NTP Server Adresse für die automatische Zeitkonfiguration
  • Die vorherige MAC-Adresse der ISP-Schnittstelle

3.3.1 DHCP Client

Die Standardkonfiguration nutzt auf der Schnittstelle in Richtung des ISP bzw WAN (Wide area Netzwork) einen DHCP-Client. Dieser sollte deaktiviert werden, wenn der ISP diesen Netzwerk-Dienst nicht anbietet. Man öffnet hierfür ‚IP -> DHCP Client‘ und überprüft Feld 1. um sich den Status des DHCP Client anzeigen zu lassen. Wenn der Status wie auf dem unten ersichtlichen Screenshot vorliegt, dann bietet der ISP keine automatische Konfiguration an. Für diesen Fall kann man über die Auswahl in 2. die DHCP-Client Konfiguration auf der Schnittstelle entfernen.

dhcp_client

3.3.2 Statische IP Adresse

Um IP Adressen auf dem Router zu verwalten öffnet man ‚IP -> Address‘

add_new_address

Wenn man auf dem Router verbunden ist, wird hier eine Adresse angezeigt – Die Adresse des local area network (LAN) 192.168.88.1 . Wählt man Add new aus, kann man neue statische IP Adressen eintragen.

adding_new_address

Hier müssen nur die markierten Felder ausgefüllt werden. Feld 1. sollte die vom ISP erhaltene IP Adresse sowie Netzwerkmaske beinhalten.

Beispiel:

172.16.88.67/24

Beide Notationen bedeuten hierbei dasselbe. Egal welche Notation man vom ISP erhält, kann man hier eine der beiden eingeben und der Router wird die restliche Kalkulation übernehmen.

//mikrotik-blog.de-Anmerkung: im Wiki wurde diese Ausführung wohl vergessen mit einem Beispiel zu hinterlegen. Die Erklärung ist:  /24 = 255.255.255.0

Danach ist natürlich von Interesse, welchem Interface, also welcher Schnittstelle man diese IP Adresse zuordnet. Bei diesem sollte es sich um die Schnittstelle handeln, über welche man sich mit dem ISP verbindet. Wenn wir dieser Anleitung folgen, handelt es sich hierbei um die Schnittstelle, die auf den Namen ether1 lautet.

Anmerkung: Während man die Adresse eingibt, wird Webfig berechnen, ob die eingegebene Adresse zulässig ist. Wenn ja, wird dieses Feld blau markiert und wenn nicht rot.

Anmerkung 2: Es ist nicht zwingend notwendig, bietet sich aber an, Informationen über markieren einer Schnittstelle und klicken des gelben Notizzettels zu hinterlassen.

 

3.3.3 Konfiguration der Netzwerk-Adress-Übersetzung (NAT)

Bei der Nutzung von lokalen und globalen Netzwerken ist es nötig das lokale Netzwerk zu maskieren, damit das eigene LAN nach extern als IP-Adresse auftritt, welche vom ISP zur Verfügung gestellt wurde. Der Grund hierfür ist, das der ISP nicht weiss, welche LAN-Adressen am Router genutzt werden und das LAN nicht ins Internet bzw. globale Netzwerk geroutet wird.

Um zu schauen, ob das Quell-NAT aktiv ist öffnet man ‚IP -> Firewall -> tab NAT‘ und prüft ob das Element (oder ähnliche) in der Router-Konfiguration markiert angezeigt werden.

check_nat_masquerade

Wesentliche Merkmale für eine funktionierende Maskierung sind:

  • enabled ist aktiviert;
  • chain – srcnat wurde ausgewählt;
  • Als out-interface wurde die mit dem ISP verbundene Schnittstelle ausgewählt – Dieser Anleitung folgend ist das ether1;
  • Als action wurde masquerade ausgewählt.

Im Screenshot werden die korrekten Regeln angezeigt. Zu beachten ist, dass alle formal irrelevanten Regeln ausgeblendet sind und ignoriert werden können.

masqurade_rule

3.3.4 Standard Gateway

Unter ‚IP -> Routes‘ ist das Menü für Routeneinträge im allgemeinen und hier im speziellen für die Eintragung der Standard Route zu finden. Mit Add new ist es möglich, eine neue Route hinzuzufügen.

to_the_routes

Im angezeigte Bildschirm ist das folgende zu sehen:

add_default_route

hier drückt man den + Button, neben dem rot markierten Gateway und trägt im aufgehenden Feld entweder das Standard Gateway oder der Einfachheit halber das vom ISP bereitgestellte Gateway ein.

Dies sollte dann wie folgt ausschauen, wenn man den + Button betätigt und im Begriff ist, das Gateway ins angezeigte Feld einzugeben:

route_add_gateway

Nachdem das Gateway eingetragen wurde, kann man den OK Button drücken und somit den Eintrag der Standard Route abschließen.

Ab diesem Zeitpunkt sollte es möglich sein, weltweit jeden Host im Internet über seine IP Adresse zu erreichen.
Um das hinzufügen zu prüfen, kann man über Tools -> Ping Zuhilfe nehmen.

3.3.5 Auflösung von Domainnamen in IP-Adressen

Damit man Webseiten oder öffnen und auf Internet Hosts über deren Domain-Namen zugreifen zu können, ist es nötig, dass DNS entweder auf dem Router oder auf dem Computer konfiguriert ist. In Bezug auf diese Anleitung wird hier nur die diesebzügliche Routerkonfiguration veranschaulicht. DNS Adressen werden hierbei vom am Router benutzten DHCP-Server ausgegeben.

Diese Funktion ist unter ‚IP -> DNS ->Settings‘ zu finden.

Man öffnet zuerst ‚IP ->DNS‘:

go_to_dns_settings

Danach wählt man Settings aus um den DNS auf dem Router zu konfigurieren. Man fügt das Feld für die IP Adresse des DNS hinzu, siehe 1. im unten ersichtlichen Bild und aktiviert Allow Remote Requests bei 2.

dns_add_server

Für jedes gedrückte + erhält man ein zusätzliches Feld für DNS IP Adressen:

for_2_dns_servers

Anmerkung: Eingegebene, vom System akzeptierte IP Adressen werden blau und nicht akzeptierte werden rot markiert angezeigt.

 

3.3.6 SNTP Client

Zwischen einem Neustart und einem Stromausfall ist es an RouterBOARD Routern nicht vorgesehen, die Zeit zu behalten. Für diesen Zweck ist es nötig, am Router einen SNTP Client zu konfigurieren.

Man startet hierfür bei ‚System -> SNTP‘ und aktiviert 1. Danach wechselt man bei 2. von broadcast zu unicast, um globale oder vom ISP bereitgestellte NTP Server nutzen zu können. Diese NTP Server Adressen können dann unter 3. eingetragen werden.

sntp_client_setup

3.4 Wlan Einstellungen

Für die einfache Handhabung wird im vorliegenden Fall eine gebridgete Wlan Konfiguration genutzt. Damit werden kabelgebundene, als auch über Wlan verbundene Hosts in einer Ethernet Broadcast Domain vereint.

Um dies zu realisieren müssen die folgenden Voraussetzungen erfüllt sein:

  • Die für LAN vorgesehenen Ethernet Schnittstellen sind geswitched oder gebridged oder liegen als separate Schnittstellen vor;
  • Sofern eine Bridge-Schnittstelle vorliegt;
  • Der mode der Wlan-Schnittstelle ist ap-bridge (hierfür muss der Router über Lizenz Level 4 oder höher verfügen. Wenn nur Lizenz Level 3 vorliegt, setzt man den mode auf bridge woraufhin es immernoch möglich ist, einen einzigen Client (station) mit dem dem Router über die Wlan-Verbindung zu verbinden.
  • In den Schnittstellen-Einstellungen wird ein geeignetes Sicherheitsprofil erstellt und ausgewählt.

3.4.1 Status der Ethernet Schnittstellen prüfen

Warnung vorab: Änderungen an den Einstellungen beeinflussen die eigene Verbindung zum Router bis hin zur Verbindungstrennung. Für diesen Fall gibt es den Safe Mode um im Falle einer Verbindungstrennung die Änderungen bis zu dem Stand zurückzusetzen, bevor man in diesen abgesicherten Modus übergegangen ist.

Um zu prüfen, ob ein Ethernet-Schnittstelle geswitcht ist, also ob diese einer anderen Schnittstelle untergeordnet zugeteilt ist (=Slave) geht man ins ‚Interface‘ Menü und öffnet die Details der entsprechenden Ethernet-Schnittstelle. Dies kann auch unterschieden werden, wenn man die Typen-Spalte betrachtet, welche ‚Ethernet‘ anzeigt.

interface_open_details

In den geöffneten Schnittstellen-Details betrachtet man die Master Port (=Master Schnittstelle, Übergeordnete Schnittstelle, anm. Mikrotik-Blog.de) Einstellung.

master_port

Verfügbare Einstellungsattribute sind none oder der Name einer Ethernet-Schnittstelle. Wenn der Name gesetzt wird, bedeutet dies, dass diese Schnittstelle dann zur Slave Schnittstelle des ausgewählten Master Ports wird. Die Ethernet-Schnittstellen sind bei RouterBOARD Routern wie folgt definiert. ether1 ist die WAN Schnittstelle und die restlichen Schnittstellen sind als Slaves des Master Ports ether2 für das LAN konfiguriert.

Um das Master-Slave-Verhältnis aller Ethernet-Schnittstellen, welche für LAN vorgesehen sind zu prüfen, geht man wie folgt vor: Wenn ether2, ether3, ether4, ether5 als LAN-Schnittstellen vorgesehen sind, setzt man das Attribut Master Port bei den Schnittstellen ether3 bis ether5 auf die dann als Master Port fungierende ether2 Schnittstelle.

Für den Fall, dass dies fehlschlägt, also wenn eine Ethernet Schnittstelle als Schnittstelle in einer Bridge genutzt wird, muss man diese zuerst aus der Bridge entfernen um Hardware Paket Switching zwischen den Schnittstellen zu ermöglichen.

Hierfür geht man nach  Bridge -> Ports und entfernt die Slave Schnittstelle aus der Registerkarte (z.B., ether3 zu ether5).

remove_bridge_port

Anmerkung: Wenn der Master Port zugleich in der Bridge enthalten ist, ist alles ok. Die bestehende Konfiguration erfordert hier sowohl die Master- als auch die Wlan-Schnittstelle.

 

3.4.2 Sicherheitsprofil

Es ist wichtig das eigene Wlan-Netzwerk gegen bösartike Aktionen Dritter abzusichern und diese zu unterbinden.

Um ein bestehendes Sicherheitsprofil zu ändern oder ein neues anzulegen wechselt man in ‚Wireless -> in den Tab ‚Security Profiles‘ und wählt eine der beiden Optionen:

  • Add new create um ein neues Profil anzulegen;
  • Der markierte Pfad im Screenshot ändert das Default Profile, welches standardmäßig zur Wlan-Schnittstelle gehört.

secuirtas_profle

In diesem Beispiel wird ein neues Sicherheitsprofil erstellt, das editieren funktioniert nach demselben Prinzip. Eingaben, die zwingend getätigt werden müssen, werden rot markiert und empfohlene Eingaben rot umrandet und auf die empfohlenen Werte voreingestellt. Da es immernoch Altgeräte gibt, werden sowohl WPA als auch WPA2 angeboten (z.B. Laptops mit Windows XP, welche kein WPA2 unterstützen usw.)

Die Pre-Shared-Keys bei WPA und WPA2 sollten mit einer ausreichenden Länge eingegeben werden. Wenn der Key (=Schlüssel) zu kurz ist, wir das über eine rote Markierung des Feld angezeigt. Wenn die ausreichende Länge erreicht wurde, wird die Feld-Markierung zu blau wechseln.

creating_security_profile

Anmerkung: WPA und WPA2 Pre-Shared Keys sollten unterschiedlich sein.

Anmerkung: Wenn man das Sicherheitsprofil für den Wlan-AccessPoint konfiguriert,  kann man währenddessen Hide passwords deaktivieren, um sich das eingegebene WPA/WPA2 Passwort während der Eingabe anzeigen zu lassen. Diese Funktion ist in der am oberen Rand des Fensters befindlichen Leiste, also dem Seiten-Header zu finden.

Wireless settings

Die Konfiguration der Wlan-Einstellungen wird in der folgenden Rubrik durchgeführt:

goto_wireless

In der General Rubrik ist es möglich die Eingaben wie im folgenden Screenshot zu tätigen. Hier sollte man mit Bedacht vorgehen, da man ggf. noch Eingaben leicht angepasst werden müssen.
Der Schnittstellen mode wird auf ap-bridge soweit das die vorliegende Lizenz zulässt, ansonsten setzt man ihn auf bridge, damit sich ein Client mit dem Gerät verbinden kann.
Wlan-Geräte werden meist mit dem 2.4GHz modes ausgeliefert. Setzt man das band auf 2GHz-b/g/n kann sich jeder Client mit 802.11b, 802.11g und 802.11n mit dem AccessPoint verbinden.
Passt man die Kanalbreite an, können höhere Datenraten für Clients mit 802.11n ermöglicht werden. Im ersichtlichen Screenshot wird Beispielsweise Kanal 6 genutzt, weswegen 20/40MHz HT Above oder 20/40 MHz HT Below genutzt werden können. Hiervon wählt man einen aus.
Abschließend setzt man die SSID, also den Namen des AccessPoints. Wenn man mit dem eigenen Endgerät nach Netzwerken scannt wird dieser Name angezeigt.

wireless_general

In der Rubrik HT ist es möglich, die HT transmit und receive Chains zu setzen. In der Regel ist es sinnvoll, alle verfügbaren Chains zu aktivieren (Anmerkung Mikrotik-Blog.de: Jede Chain eintspricht einem Anschluss auf der Wlan-Karte. Deshalb sollten nur die Anschlüsse auf der Wlan-Karte aktiviert werden, die auch mit einer Antenne verbunden(!!!) sind. Andernfalls droht auf Dauer ein Defekt der Wlan-Karte!)

wireless_ht

Wenn die Einstellungen entsprechend getätigt wurden, ist es Zeit, den nun geschützten AccessPoint wie folgt zu aktivieren.

enable_wireless

LAN und Wlan via Bridge verbinden

Man öffnet das Bridge Menü und prüft, ob eine Bridge-Schnittstelle verfügbar ist (1.). Wenn keine verfügbar ist, wählt man Add New (2.) und akzeptiert die Standard-Einstellungen und legt somit eine neue Bridge-Schnittstelle an. Wenn die Bridge-Schnittstelle verfügbar ist wechselt man in den Reiter Ports in welchem dann die Master LAN- und die Wlan-Schnittstelle hinzugefügt werden.

Im mit 1. markierten Bereich werden alle Schnittstellen angezeigt, welche als Port der Bridge hinzugefügt worden sind. Wenn dort keine hinzugefügten Ports angezeigt werden, wählt man Add New um neue Ports der angelegten Bridge hinzuzufügen.

brtidge_ports_view

Wenn der Bridge ein neuer Port hinzugefügt wurde, wählt man aus, dass diese auch aktiviert, also enabled ist. Dieser Anleitung folgend dürfte es bei der Auswahl der Bridge nur eine Schnittstelle geben. Ebenso bei Ports, in welcher die Master-LAN-Schnittstelle und die Wlan-Schnittstelle enthalten sein sollten.

add_bridge_port

Ein letzter Blick auf die konfigurierte Bridge sollte die folgenden Ports enthalten.

set_up_bridge

Fehlersuche und weitergehende Konfiguration

Diese Rubrik weicht etwas von der oben ersichtlichen Konfigurationsanleitung ab, da hierfür ein gewisses Verständnis von Netzwerken und Wlan-Netzwerken benötigt wird.

Allgemein

IP Adresse prüfen

Hinzufügen von IP Adressen mit falschen Netzwerkmasken wird in falschen Netzwerkkonfigurationen enden. Um dieses Problem zu beheben ist es nötig im address Feld (1.) die korrekte Adresse und Netzwerkmaske einzutragen und im network Feld (2.) das richtige Netzwerk. Alternativ kann man dieses auch frei lassen und der Router berechnet es von allein.

correct_address_1

Passwort für den aktuellen Nutzer ändern

change_passwd_current_user

Um das Passwort für den aktuellen Nutzer zu ändern geht man nach System -> Password
Dort müssen alle Felder ausgefüllt werden.
Es gibt jedoch auch noch eine andere Möglichkeit um Passwörter zu ändern, wofür aber alle Router-Rechte nötig sind:

Passwort eines existierenden Nutzers ändern

Wenn diese Rechte vorliegen ist es möglich, jedes Nutzer-Passwort zu ändern, ohne das aktuelle zu kennen. Dafür geht man nach System -> Users .

Abfolge:

  • Nutzer auswählen;
  • Nun erfolgt die Eingabe des neuen Passworts inkl dessen Wiederholung

Kein Zugang zum Internet oder zum Netzwerk des ISP

Wenn man dieser Anleitung bis hierhin gefolgt ist, dann aber nur eine Kommunikation mit lokalen Hosts möglich, aber keine Verbindung ins Internet möglich ist, könnten die die folgenden Punkte relevant sein:

  • Wurde die Maskierung richtig konfiguriert
  • Ändert sich etwas, wenn man die MAC-Adresse des Vorgängerrouters auf dem WAN Interface wiedereinsetzt.
  • Prüfen ob der ISP einen via einem Captive Portal erst auf eine spezielle Website leitet, bevor man ins Internet verbunden wird.

Es gibt natürlich mehrere Möglichkeiten Probleme zu lösen. Ersten ist die Konfiguration auf vergessene Einstellungen zu prüfen. Zweitens ist die MAC-Adresse richtig gesetzt(?) Der Wechsel der MAC-Adresse ist nur über die CLI möglich, also über das New Terminal . Dieses ist im Menü, auf der linken Seite zu finden. Wenn das Fenster nicht öffnet, ist zu prüfen, ob der Browser Pop-Ups blockiert.
Dort gibt man dann das folgende ein, um die MAC-Adresse durch die korrekte zu ersetzen:

 /interface ethernet set ether1 mac-address=XX:XX:XX:XX:XX:XX

Alternativ kontaktiert man den ISP für nähere Informationen und teilt diesem mit, dass man eine Änderung vorgenommen hat.

Verbindung prüfen

Für einen funktionierenden Ethernet Link sind einige Dinge unabdingbar:

  • Wenn das Ethernet-Kabel eingesteckt wird, sind die LEDs an und blinken und zeigen somit Link-Aktivität an
  • Auf der Schnittstelle wurde die korrekte IP Adresse konfiguriert
  • Die richtige Route ist auf dem Router eingetragen

Welche Punkte sind zu beachten, wenn man das Tool ‚Ping‘ benutzt:

  • Werden alle Pakete beantwortet?
  • Haben alle Pakete ungefähr dieselbe round trip time (RTT) auf dem nicht überlasteten Ethernet Link?

Das Werkzeug ist wie folgt zu finden: Tool -> Ping Menü. Man füllt hier das Feld Ping To aus und drückt Start, um die Sendung von ICMP Paketen zu initiieren.

Wlan

In der obigen Anleitung konnten einige Dinge bzgl. Wlan noch nicht genannt werden, die aber gut für das Verständnis sind. Dies umfasst Konfigurationsanpassungen:.

Kanalfrequenzen und Kanalbreite

Es ist möglich, verschiedene Frequenzen zu nutzen. Im folgenden findet man Einstellungen für Frequenzen und Kanalbreiten für 40MHz HT channel (for 802.11n) vor. Beispielhaft der Gebrauch von channel 1 (=Kanal 1, anm. Mikrotik-Blog.de) oder 2412MHz Frequenz für  20/40MHz HT below wird kein zufriedenstellendes Resultat liefern, da unter der gewählten Frequenz keine verfügbaren 20MHz Kanäle verfügbar sind.

Channel # Frequency Below Above
1 2412 MHz no yes
2 2417 MHz no yes
3 2422 MHz no yes
4 2427 MHz no yes
5 2432 MHz yes yes
6 2437 MHz yes yes
7 2442 MHz yes yes
8 2447 MHz yes yes
9 2452 MHz yes yes
10 2457 MHz yes yes
11 2462 MHz yes no
12 2467 MHz yes no
13 2472 MHz yes no

Warnung: Es sollte geprüft werden, wie viele und welche Frequenzen sich zuvor in der Regulatory Domain befanden. Wenn dort 10 oder 11 Kanäle waren muss die Einstellung entsprechend angepasst werden. Mit nur 10 Kanälen wird Kanal #10 keinen Sinn ergeben,  20/40MHz HT above einzustellen, da keine vollen 20MHz Kanäle verfügbar sind.

Wireless frequency usage

Wenn die Wlan-Verbindung zu Wünschen übrig lässt, auch wenn die Signalwerte gut zu sein scheinen, könnte es sein, dass der Nachbars-Router auf derselben Funkfrequenz sendet, wie der eigene Router. Um dies zu prüfen, geht man wie folgt vor:

  • Man öffnet das frequency usage Überwachungs-Tool, welches sich im Wireless Interface befindet : Freq. Usage

wifi_freq_usage1

  • Man sollte dem Scan ein wenig Zeit geben (1-2Min), bis die Resultate angezeigt werden. Kleinere Zahlen in der Usage Spalte bedeutet, dass der Kanal weniger genutzt wird.
wifi_freq_usage

Anmerkung: Das Monitoring erfolgt auf Grundlage der Standard-Kanäle des Landes, welches in Country ausgewählt wurde. Wenn zum Beispiel Lettland als Land ausgewählt wurde, gibt es 13 gelistete Frequenzen (was bedeutet, dass in diesem Land 13 Kanäle erlaubt sind).

Ländereinstellungen ändern

Standardmäßig ist das country Attribut in den Wlan-Einstellungen auf no_country_set gesetzt. Es bietet sich an, diese Einstellung auf das Land zu ändern (wenn verfügbar) in dem man sich aktuell befindet. Dies läuft wie folgt ab:

  • Im wireless Menü wähl man den Advanced mode aus:
wifi_adv_mode
  • Als Country Attribut wählt man dann das entsprechende Land aus dem drop-down Menü aus
wifi_select_country

Anmerkung: Mit dem Advanced mode Button kann man sich sowohl diesen, als auch den Simple mode jederzeit durch einen einfachen Wechsel anzeigen lassen.

Port Weiterleitung

Um lokale Server oder Hosts für die Öffentlichkeit verfügbar zu machen, ist es möglich Ports von extern nach intern, also in das geNATete Netzwerk weiterzuleiten. Dies wird über das /ip firewall nat Menü realisiert. Um Beispielsweise Remote Unterstützung von außen, am eigenen Desptop PC, zu erhalten, oder die eigenen Daten verfügbar zu machen, wenn man nicht vor Ort ist.

Statische Konfiguration

Viele Nutzer bevorzugen die Konfiguration eigener, statischer Regeln, um die Kontrolle darüber zu behalten, welche Dienste von außen verfügbar sind und welche nicht. Dies ist auch dann nötig, wenn genutzte Dienste keine dynamische Konfiguration unterstützen.

Die folgende Regel leitet alle Verbindungen, die auf der extern anliegenden IP Adresse auf Port 22 am Router ankommt, auf Port 86 auf dem lokalen Host mit der folgenden, gesetzten IP Adresse weiter:

Wenn andere verfügbare Dienste benötigt werden, können die Protokolle natürlich wie benötigt abgeändert werden. Normalerweise laufen die meisten Dienste jedoch mit dem TCP-Protokoll und dem entsprechenden dst-port. Wenn ein Port Wechsel nicht benötigt wird, z.B. wenn der Remote Dienst auf Port 22 und lokal ebenso auf Port 22 läuft, kann to-ports auch ungesetzt verbleiben.

dst-nat

 

Der entsprechende Befehl auf der Kommandozeile lautet:

 /ip firewall nat add chain=dstnat dst-address=172.16.88.67 protocol=tcp dst-port=22 \
 action=dst-nat to-address=192.168.88.22 to-ports=86

Anmerkung: Der Screenshot beinhaltet nur ein minimales Spektrum der Einstellungsmöglichkeiten

Dynamische Konfiguration

Um dynamische Port-Weiterleitungen aktiv zu setzen wird uPnP gentutz, damit laufende Dienste beim Router anfragen kann, wenn es nötig ist, manche Ports weiterzuleiten.

Warnung: Dies ermöglicht es natürlich auch Diensten, die man nicht im Blick hat, diesen Service der automatisierten Port-Weiterleitungen zu nutzen. Dies kann die Sicherheit des lokalen Netzwerks und somit der darin befindlichen Hosts und Daten natürlich in erheblichem Maße gefährden!

Die Konfiguration des uPnP Dienstes auf dem Router:

  • Vorab ist einzustellen, welche Schnittstelle nach extern zeigt und welche nach intern:
 /ip upnp interface add interface=ether1 type=external
 /ip upnp interface add interface=ether2 type=internal
  • Den Dienst selbst starten:
 /ip upnp set allow-disable-external-interface=no show-dummy-rule=no enabled=yes

Zugang zu Websites beschränken

Im Menü IP -> Web Proxy besteht die Möglichkeit, den Zugang zu unerwünschten Websiten zu beschränken. Dies benötigt etwas Verständnis der WebFig Interface Nutzung.

Webproxy für Seitenfilterung aufsetzen

Im Menü IP -> Web Proxy öffnet man den Tab Web Proxy Settings und stellt sicher, dass diese Attribute wie folgt gesetzt sind:

 Enabled -> checked
 Port -> 8080
 Max. Cache Size -> none
 Cache on disk -> unchecked
 Parent proxy -> unset

Wenn die erforderlichen Anpassungen erledigt sind, kommt man mit betätigen von apply zurück zum Access Tab.

Zugangsregeln konfigurieren

Diese Liste beinhaltet alle Regeln welche benötigt werden, um den Zugang zu Seiten im Internet zu beschränken.

Um Beispielhaft eine Regel zu implementieren, welche den Zugriff auf jeden Host unterbindet, welcher ‚example.com‘ beinhaltet legt man den folgenden Eintrag an:

 Dst. Host -> .*example\.com.*
 Action -> Deny

Mit dem Eintrag dieser Regel wir jeder Zugriff auf einen Host, der „example.com will be unaccessible.

Strategien für Einschränkungen

Es gibt zwei Ansatzpunkte für dieses Problem:

  • Man lehnt nur seiten ab, die man gezielt ablehnen will (A)
  • Man erlaubt nur ein paar Seiten und lehnt alles weitere ab (B)

Bei Ansatz A muss jede Seite, die hinzugefügt und abgelehnt werden soll, bei Action auf Deny gesetzt werden

Bei Ansatz B muss jede Seite, die hinzugefügt und erlaubt werden soll, bei der Action auf Allow gesetzt werden. Am Ende muss zusätzlich noch eine Regel erstellt werden, bei der alles, was dieser Regel wiederspricht mit bei Action auf Deny setzt und verwirft.

[ Top | Back to Content ]

Dieser Beitrag wurde unter Erstkonfiguration abgelegt und mit , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.