Konfiguration ab Werk/Default Configurations

Manual:Default Configurations


Manual:Konfiguration ab Werk

version

Gilt für RouterOS: v5, v6+

Inhalt

  • 1 Liste der Default Konfigurationen

    • 1.1 Kompaktgeräte Indoor
    • 1.2 Kompaktgeräte Outdoor
    • 1.3 Engineered
    • 1.4 CAP
  • 2 WAN Port
  • 3 Lokaler Port
  • 4 Wireless Konfiguration
  • 5 Default IP und DHCP Konfiguration
  • 6 Firewall, NAT und MAC Server
  • 7 DNS

1 Liste der Default Konfiguration

1.1 Kompaktgeräte Indoor

Wan port Lan port Wireless mode ht chain ht extension dhcp-server dhcp-client Firewall NAT Default IP Mac Server
RB750 RB750G ether1 Switched ether2-ether5 auf dem LAN-Port auf dem WAN-Port Zugriff auf den WAN-Port wird blockiert Masquerade wan port 192.168.88.1/24 on lan port Disabled on wan port
RB751 ether1 Switched ether2-ether5, bridged wlan1 with switch AP b/g/n 2412MHz 0,1 above-control auf dem LAN-Port auf dem WAN-Port Zugriff auf den WAN-Port wird blockiert Masquerade wan port 192.168.88.1/24 on lan port Disabled on wan port
RB951 ether1 Switched ether2-ether5, bridged wlan1 with switch AP b/g/n 2412MHz 0 above-control auf dem LAN-Port auf dem WAN-Port Zugriff auf den WAN-Port wird blockiert Masquerade wan port 192.168.88.1/24 on lan port Disabled on wan port
RB1100 AH/AHx2 192.168.88.1/24 on ether1
RB1200 192.168.88.1/24 on ether1
CCR series 192.168.88.1/24 on ether1
RB2011 ether1 two switch groups bridged (ether2-ether10, wlan1 if present) auf dem LAN-Port auf dem WAN-Port Zugriff auf den WAN-Port wird blockiert Masquerade wan port 192.168.88.1/24 on ether1 Disabled on wan port
CRS all ports switched 192.168.88.1/24 on ether1
CRS with wireless ether1 all other ports switched and bridged with wireless auf dem LAN-Port auf dem WAN-Port Zugriff auf den WAN-Port wird blockiert Masquerade wan port 192.168.88.1/24 on ether1 Disabled on wan port
mAP ether1 bridged wireless station b/g/n 2.4GHz 0 above control auf dem LAN-Port auf dem WAN-Port Zugriff auf den WAN-Port wird blockiert Masquerade wan port 192.168.88.1/24 on lan port Disabled on wan port

1.2 Kompaktgeräte Outdoor

Wan port Lan port Wireless mode ht chain ht extension dhcp-server dhcp-client Firewall NAT Default IP Mac Server
Groove 2Hn wlan1 ether1 station b/g/n 2.4GHz 0 above control auf dem LAN-Port auf dem WAN-Port Zugriff auf den WAN-Port wird blockiert Masquerade wan port 192.168.88.1/24 on lan port Disabled on wan port
Groove 5Hn wlan1 ether1 station a/n 5GHz 0 above control auf dem LAN-Port auf dem WAN-Port Zugriff auf den WAN-Port wird blockiert Masquerade wan port 192.168.88.1/24 on lan port Disabled on wan port
Groove A-5Hn bridged wlan1,ether1 AP a/n 5300MHz 0 192.168.88.1/24 on lan port
Metal 5 wlan1 ether1 station a/n 5GHz 0 above control auf dem LAN-Port auf dem WAN-Port Zugriff auf den WAN-Port wird blockiert Masquerade wan port 192.168.88.1/24 on lan port Disabled on wan port
Metal 2 wlan1 ether1 station b/g/n 2GHz 0 above control auf dem LAN-Port auf dem WAN-Port Zugriff auf den WAN-Port wird blockiert Masquerade wan port 192.168.88.1/24 on lan port Disabled on wan port
SXT 5xx,
SXT G-5xx
wlan1 ether1 station 5GHz-a/n (5ghz-a/n/ac) 0,1 above control auf dem LAN-Port auf dem WAN-Port Zugriff auf den WAN-Port wird blockiert Masquerade wan port 192.168.88.1/24 on lan port Disabled on wan port
OmniTik ether1 Switched ether2-ether5, bridged wlan1 with switch AP a/n 5300MHz 0,1 auf dem LAN-Port auf dem WAN-Port Masquerade wan port 192.168.88.1/24 on lan port
SEXTANT wlan1 ether1 station a/n 5GHz 0,1 above control auf dem LAN-Port auf dem WAN-Port Zugriff auf den WAN-Port wird blockiert Masquerade wan port 192.168.88.1/24 on lan port Disabled on wan port
BaseBox 5 bridged wlan1,ether1 AP a/n 5GHz 0,1 192.168.88.1/24 on lan port
BaseBox 2 bridged wlan1,ether1 AP b/g/n 2GHz 0,1 192.168.88.1/24 on lan port
QRT 2 wlan1 ether1 station b/g/n 2.4GHz 0,1 above control auf dem LAN-Port auf dem WAN-Port Zugriff auf den WAN-Port wird blockiert Masquerade wan port 192.168.88.1/24 on lan port Disabled on wan port
QRT 5 wlan1 ether1 station 5GHz-a/n 0,1 above control auf dem LAN-Port auf dem WAN-Port Zugriff auf den WAN-Port wird blockiert Masquerade wan port 192.168.88.1/24 on lan port Disabled on wan port

1.3 Engineered

Wan port Lan port Wireless mode ht chain ht extension dhcp-server dhcp-client Firewall NAT Default IP Mac Server
RB411xx,
RB435G,
RB433xx,
RB495xx,
RB800
192.168.88.1/24 on ether1
RB450xx ether1 Switched ether2-ether5 auf dem LAN-Port auf dem WAN-Port Zugriff auf den WAN-Port wird blockiert Masquerade wan port 192.168.88.1/24 on lan port Disabled on wan port
RB711-5xx,
RB711G-5xx
wlan1 ether1 station a/n 5GHz 0 above control auf dem LAN-Port auf dem WAN-Port Zugriff auf den WAN-Port wird blockiert Masquerade wan port 192.168.88.1/24 on lan port Disabled on wan port
RB711UA-5xx,
RB711GA-5xx
bridged wlan1,ether1 AP a/n 5300MHz 0 192.168.88.1/24 on lan port
RB711-2xx wlan1 ether1 station b/g/n 2.4GHz 0 above control auf dem LAN-Port auf dem WAN-Port Zugriff auf den WAN-Port wird blockiert Masquerade wan port 192.168.88.1/24 on lan port Disabled on wan port
RB711UA-2xx bridged wlan1,ether1 AP a/n 2412MHz 0 192.168.88.1/24 on lan port
RB911/912-2xx wlan1 ether1 station b/g/n 2.4GHz 0 above control auf dem LAN-Port auf dem WAN-Port Zugriff auf den WAN-Port wird blockiert Masquerade wan port 192.168.88.1/24 on lan port Disabled on wan port
RB911/912-5xx wlan1 ether1 station 5GHz-a/n (5GHz-a/n/ac) 0,1 above control auf dem LAN-Port auf dem WAN-Port Zugriff auf den WAN-Port wird blockiert Masquerade wan port 192.168.88.1/24 on lan port Disabled on wan port
RB921/922-2xx wlan1 bridged wireless with ethernets station b/g/n 2.4GHz 0,1 above control auf dem LAN-Port auf dem WAN-Port Zugriff auf den WAN-Port wird blockiert Masquerade wan port 192.168.88.1/24 on lan port Disabled on wan port
RB921/922-5xx wlan1 bridged wireless with ethernets station 5GHz-a/n (5GHz-a/n/ac) 0,1 above control auf dem LAN-Port auf dem WAN-Port Zugriff auf den WAN-Port wird blockiert Masquerade wan port 192.168.88.1/24 on lan port Disabled on wan port
RB953GS-5xx ether1 switched: sfp1,ether2,ether3 and bridged with wireless ap-bridge 5GHz-a/n (5GHz-a/n/ac) 0,1,2 above control auf dem LAN-Port auf dem WAN-Port Zugriff auf den WAN-Port wird blockiert Masquerade wan port 192.168.88.1/24 on lan port Disabled on wan port

Hinweis: Um das nach einem System Reset angewandte Konfigurations-Skript zu sehen, gibt man das folgende Kommando ein (die untenstehende Warnung sollte beachtet werden) /system default-configuration print

Warnung: /system default-configuration print zeigt immer die ab Werk Default Konfiguration an, sogar wenn diese von einem Netinstall Skript überschrieben wurde.

1.4 CAP

Wenn die CAP Default Konfiguration geladen ist, wird ‚ether1‘ als Management Port mit konfiguriertem DHCP-Client gesetzt.

Alle anderen Ethernet Interfaces werden gebridged und ‚wlan1‘ wird von CAPsMAN verwaltet

2 WAN Port

Wenn die Konfiguration vorgenommen wird, wird der WAN Port in „<wan port>-gateway“ umbenannt. Wenn Beispielsweise ether1 der Wan Port ist, wird dieser in „ether1-gateway“ umbenannt.

3 Lokaler Port

Lokale Ports können sein:

  • Ein einzelnes Interface
  • Ethernet-Ports welche in einer Switch-Gruppe gebündelt sind
  • bridged, alle Interfaces welche nicht WAN-Ports oder oder Switch Slaves sind.

Wenn die Ports geswitched sind, wird der Master-Port in „<ethernet name>-master-local“ umbenannt und die Slaves in „<ethernet name>-slave-local“.

Als Beispiel schaut man sich hierzu ein RB751 an. Auf dem Board ist ether1 als WAN Port konfiguriert und es verfügt über einen Switch Chip und ein vorkonfiguriertes Wlan-Interface. In diesem Fall sind alle Ports, bis auf ether1, in einer Switch Gruppe gruppiert und mit dem Wlan-Interface gebridged.

Die generierte Konfiguration sieht wie folgt aus:

/interface set ether2 name=ether2-master-local;
/interface set ether3 name=ether3-slave-local;
/interface set ether4 name=ether4-slave-local;
/interface set ether5 name=ether5-slave-local;
/interface ethernet set ether3-slave-local master-port=ether2-master-local;
/interface ethernet set ether4-slave-local master-port=ether2-master-local;
/interface ethernet set ether5-slave-local master-port=ether2-master-local;

/interface bridge add name=bridge-local disabled=no auto-mac=no protocol-mode=rstp;

:local bMACIsSet 0;
:foreach k in=[/interface find] do={
        :local tmpPort [/interface get $k name];
        :if ($bMACIsSet = 0) do={
               :if ([/interface get $k type] = "ether") do={
                      /interface bridge set "bridge-local" admin-mac=[/interface ethernet get $tmpPort mac-address];
                      :set bMACIsSet 1;
                 }
        }
        :if (!($tmpPort~"bridge" || $tmpPort~"ether1" || $tmpPort~"slave")) do={
               /interface bridge port add bridge=bridge-local interface=$tmpPort;
        }
}

4 Wlan Konfiguration

Die Wlan Konfiguration hängt vom Markt-Segment ab, für welches das Board designt ist. Es kann als AP oder Station in 2GHz oder 5GHz Frequenz. Die Standard-Frequenz in 2GHz ist 2412 und bei 5GHz 5300. Die SSID lautet „Mikrotik-“ + die letzten 3 Bytes der Wlan MAC-Adresse in Hex. Startend mit RouterOS v5.25 und v6rc14 ist das Wlan Sicherheits-Profil mit WPA/WPA2 vorkonfiguriert. Der Sicherheitsschlüssel entspricht der Seriennummer des Routers.

Wenn die MAC-Adresse des wlan1 Interfaces  00:0B:6B:30:7F:C2 lautet und die Seriennummer des Boards die folgende ist

/sys routerboard print 
       routerboard: yes
     serial-number: 0163008F8883

Die folgenden Einstellungen werden angewandt:

  • SSID=“MikroTik-307FC2″
  • Sicherheitseinstellungen:
    • mode=dynamic-keys
    • authentication-types=wpa-psk,wpa2-psk
    • wpa-pre-shared-key=0163008F8883
    • wpa2-pre-shared-key=0163008F8883

Hinweis: Beim Sicherheitsschlüssel ist die Groß-/Kleinschreibung zu beachten!

Wenn das Board über zwei Chains verfügt (dies kann man vom Zeichen D in der Namensbezeichnung ableiten) sind beide Chains aktiviert. Die HT Extension ist auf allen CPEs aktiviert.

Beispiels-Konfiguration auf dem RB751:

:if ( $wirelessEnabled = 1) do={
# wait for wireless
       :while ([/interface wireless find] = "") do={ :delay 1s; };

       /interface wireless set wlan1 mode=ap-bridge band=2ghz-b/g/n ht-txchains=0,1 ht-rxchains=0,1 \
               disabled=no country=no_country_set wireless-protocol=any
       /interface wireless set wlan1 channel-width=20/40mhz-ht-above ;
}

5 Default IP und DHCP Konfiguration

Die Default IP Adresse auf allen Baords ist die 192.168.88.1/24. Boards ohne festgelegte Konfiguration verfügt über eine auf ether1 gesetzte IP Adresse, andere Boards verfügen über eine IP Adresse auf dem LAN Interface.

Alle Boards verfügen über einen konfigurierten WAN Port und über einen auf diesem konfigurierten DHCP Client.

Typisch auf allen CPEs ist, dass ein DHCP-Server auf dem LAN-Port aktiv ist und dort IP-Adressen im Adressbereich 192.168.88.2-192.168.88.254 ausgegeben werden.

Ein als Beispiel auf einem RB751 angewandte DHCP Konfiguration.

/ip dhcp-client add interface=ether1-gateway disabled=no

/ip pool add name="default-dhcp" ranges=192.168.88.10-192.168.88.254;
/ip dhcp-server 
  add name=default address-pool="default-dhcp" interface=bridge-local disabled=no;

/ip dhcp-server network 
  add address=192.168.88.0/24 gateway=192.168.88.1 dns-server=192.168.88.1 comment="default configuration";

6 Firewall, NAT und MAC Server

Alle Boards mit einem konfigurierten WAN Port verfügen ebenso über eine Absicherung auf diesem Port. Jeder Datenverkehr, der den WAN Port verlässt, wird maskiert. In der Forward Chain wurden ebenso drei Regeln für Boards mit einer Maskierungsregel hinzugefügt: accept established, accept related und invalide gedroppt, damit keine Pakete mit lokaler IP über den WAN-Port verbreitet werden.
Konfigurationsbeispiel:

/ip firewall {
      filter add chain=input action=accept protocol=icmp comment="default configuration"
      filter add chain=input action=accept connection-state=established in-interface=ether1-gateway comment="default configuration"
      filter add chain=input action=accept connection-state=related in-interface=ether1-gateway comment="default configuration"
      filter add chain=input action=drop in-interface=ether1-gateway comment="default configuration"
      nat add chain=srcnat out-interface=ether1-gateway action=masquerade comment="default configuration"
}


/tool mac-server remove [find];
/tool mac-server mac-winbox disable [find];
:foreach k in=[/interface find] do={
       :local tmpName [/interface get $k name];
       :if (!($tmpName~"ether1")) do={
              /tool mac-server add interface=$tmpName disabled=no;
              /tool mac-server mac-winbox add interface=$tmpName disabled=no;
        }
}
/ip neighbor discovery set [find name="ether1-gateway"] discover=no


7 DNS

Jedes Board erlaubt Remote DNS Requests und verfügt über einen vom Router voreingestellten, statischen DNS Namen.

	/ip dns {
		set allow-remote-requests=yes
		static add name=router address=192.168.88.1
	}

[ Top | Back to Content ]

Dieser Beitrag wurde unter RouterBOARD Konfiguration ab Werk, RouterOS Installation und Paketquellen abgelegt und mit , , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.