Lizenz

RouterOS Licensing – License


Manual: Lizenz

Inhalt

  • 1 RouterBOARD und PC Lizenzen
  • 2 CHR Lizenz
  • 3 Lizenz Levels
  • 4 Upgrading von RouterOS v3 (2009)
  • 5 Lizenz-Level ändern
  • 6 Nutzung der Lizenz
    • 6.1 Kann man die Festplatte formatieren oder re-flashen?
    • 6.2 Auf wievielen Computern kann man die Lizenz nutzen?
    • 6.3 Kann man die Festplatte temporär auch für etwas anderes als RouterOS nutzen?
    • 6.4 Kann man die Lizenz auf eine andere Festplatte übertragen?
    • 6.5 Was ist ein Ersatzschlüssel?
    • 6.6 Muss man den ganzen Schlüssel am Router eingeben?
    • 6.7 Kann man ein anderes Betriebssystem auf der Festplatte installieren und danach RouterOS?
    • 6.8 Kann man die Lizenz auf einem anderen System nutzen, wenn das eigene RouterBOARD defekt ist?
    • 6.9 Von Resellern bezogene Lizenzen
  • 7 Gekaufte Lizenzen und wie man damit umgeht
    • 7.1 Wo kann man RouterOS Lizenzschlüssel erwerben?
    • 7.2 Wenn man den Schlüssel woanders erworben hat
    • 7.3 Wenn man über eine Lizenz verfügt und diese auf einen anderes Konto übertragen will?
  • 8 Siehe auch

1 RouterBOARD und PC Lizenzen

RouterBOARD Geräte werden mit einer vorinstallierten RouterOS Lizenz aufgeliefert. Wenn man also ein RouterBOARD Gerät gekauft hat, muss bzgl. der Lizenz nichtsmehr getan werden.

Für x86 Systeme (z.B. PC’s ) muss man hingegen eine Lizenz erwerben.

Der Lizenzschlüssel ist ein Block aus Symbolen, welcher vom eigenen mikrotik.com Konto oder aus der erhaltenen E-Mail kopiert und auf dem Router eingefügt werden muss. Man kann diesen Schlüssel im Terminal oder über den Button „Paste key“ im Winbox license Menü einfügen. Danach startet man den Router neu und der Schlüssel ist im System hinterlegt.

Das RouterOS-Lizenzierungsschema basiert auf der SoftwareID-Nummer, die an das entsprechende Speichermedium (Festplatte, NAND) gebunden ist.

Das aktuelle Lizenz-Level kann man sich über die CLI System-Konsole ausgeben lassen:

[admin@RB1100] > /system license print 
    software-id: "43NU-NLT9"
         nlevel: 6
       features: 
[admin@RB1100] >
license_menu

oder vom entsprechenden Winbox oder Webfig Menü.

2 CHR Lizenz

Cloud Hosted Router (CHR) Lizenzen für virtuelle Maschinen werden nicht in Levels unterteilt. Für weitere Informationen siehe auch CHR manual.

3 Lizenz Level

Nach der RouterOS Installation läuft dieses im trial mode. Man hat dann 24 Stunden um sich für Level1 zu registrieren oder Level 3,4,5,6 käuflich zu erwerben und einen gültigen Schlüssel einzugeben.

Level 3 fungiert einzig als Wlan Client (Client oder CPE) Lizenz. Für x86 PC’s ist Level3 nicht einzeln käuflich erhältlich. Wenn man mehr als 100 Level3 Lizenzen benötigt, wendet man sich direkt an sales[at]mikrotik.com

Level 2 fungierte als Übergang für alte Lizenzformate (vor v2.8). Diese Lizenzen sind nicht mehr verfügbar und wenn man über eine dieser Lizenzen verfügt, wird diese zwar weiterhin funktionieren, aber um ein Upgrade durchzuführen muss man eine neue Lizenz kaufen.

In der folgenden Tabelle werden die Unterschieden zwischen den Lizenz-Leveln verdeutlicht.

Level number 0 (Testphase) 1 (Demo) 3 (WISP CPE) 4 (WISP) 5 (WISP) 6 (Controller)
Price Kein Schlüssel erforderlich Registrierung erforderlich volume only $45 $95 $250
Erstkonfigurations- Support 15 Tage 30 Tage 30 Tage
Wlan AP 24Std Testphase Ja Ja Ja
Wlan Client und Bridge 24Std Testphase Ja Ja Ja Ja
RIP, OSPF, BGP Protokolle 24Std Testphase Ja(*) Ja Ja Ja
EoIP Tunnel 24Std Testphase 1 Unbegrenzt Unbegrenzt Unbegrenzt Unbegrenzt
PPPoE Tunnel 24Std Testphase 1 200 200 500 Unbegrenzt
PPTP Tunnel 24Std Testphase 1 200 200 500 Unbegrenzt
L2TP Tunnel 24Std Testphase 1 200 200 500 Unbegrenzt
OVPN Tunnel 24Std Testphase 1 200 200 Unbegrenzt Unbegrenzt
VLAN Interfaces 24Std Testphase 1 Unbegrenzt Unbegrenzt Unbegrenzt Unbegrenzt
HotSpot aktive Nutzer 24Std Testphase 1 1 200 500 Unbegrenzt
RADIUS Client 24Std Testphase Ja Ja Ja Ja
Queues 24Std Testphase 1 Unbegrenzt Unbegrenzt Unbegrenzt Unbegrenzt
Web proxy 24Std Testphase Ja Ja Ja Ja
User manager aktive Verbindungen 24Std Testphase 1 10 20 50 Unbegrenzt
Anzahl von KVM Gästen keine 1 Unbegrenzt Unbegrenzt Unbegrenzt Unbegrenzt

(*) – BGP ist nur für RouterBOARDs in Lizenz Level 3 enthalten. Für andere Geräte wird Level 4 oder höher für BGP benötigt.

Gültig für alle Lizenzen:

  • verfallen nie
  • beinhalten 15-30 Tage freien Support über E-Mail.
  • Gebrauch einer unbegrenzten Anzahl an Interfaces
  • Jede Lizenz ist für eine Installation vorgesehen
  • Unbegrenzte Anzahl von Software Upgrades

4 Upgrading von RouterOS v3 (2009)

Mit RouterOS 3.25 und 4.0beta3 wurde ein neues SoftID Format eingeführt. Das Lizenz Menü zeigt sowohl die alte als auch die neue SoftID an. Auch wenn man ein Upgrade auf eine neue RouterOS Version vornimmt, wird RouterOS weiterhin so funktionieren, wie vorher. Um aber um einige der neuen Funktionen nutzen zu können, ist es ein LIZENZ UPDATE unabdingbar. Um dies durchzuführen, klickt man einfach den  „Update license key“ Button in der Winbox (aktuell geht das nur über die Winbox).

2009-05-21_1608

Die neuen SoftID’s liegen in der folgenden Form vor:  XXXX-XXXX (Vier Symbole, Bindestrich, vier Symbole).

Die folgenden Maßnahmen werden durchgeführt:

  1. Winbox kontaktiert www.mikrotik.com mit der alten SoftID
  2. www.mikrotik.com überprüft den Schlüssel, auf Grundlage der in der Datenbank hinterlegten Schlüssel-Daten
  3. Der Server generiert einen neuen Schlüssel als „Upgrade“ und setzt diesen dann das gleiche Konto, wie den alten.
  4. Die Winbox erhält den neuen Schlüssel und lizenziert den Router automatisch mit dem neuen Schlüssel.
  5. Ein neustart ist notwendig
  6. Neue RouterOS Funktionen sind verfügbar

Wichtiger Hinweis!: Wenn man diesen Button auch in v3.24 vorfindet, sollte man diesen nicht benutzen, da er nicht funktionieren wird.

Bevor man ein Downgrade von RouterOS vornimmt, muss man erst den alten Schlüssel anwenden, bevor man das Downgrade durchführt. Wenn RouterOS den neuen Schlüssel anwendet, wird der alte in einer Datei im Files Ordner gespeichert, damit man den alten Schlüssel jederzeit vorliegen hat.

Noch wichtiger: Man sollte niemals von v4.0b3 zu v3.23 oder älter ein Downgrade durchführe. Nur von v3.24 sollte man ein Downgrade durchführen, da man sonst das neue Format seines Schlüssels verliert.

5 Lizenz-Level ändern

  1. Es gibt keine Lizenz Level Upgrades, wenn man ein anderes Lizenz Level benötigt. In diesem Fall muss man sich das entsprechende Level käuflich erwerben. Man sollte vorsichtig sein, wenn man das erste Mal eine Lizenz kauft, damit man auch das für den entsprechenden Fall passende Lizenz Level erwirbt.
  2. Warum man das Lizenz-Level durch ein Upgrade der Lizenz ändern kann, lässt sich anhand eines Beispiels erklären: Den Motor eines Autos kann man nicht von 2L auf 4L Hubraum hochsetzen, indem man die Differenz bezahlt, weswegen es auch bei den Lizenz-Leveln nicht so einfach ist, die Levels zu wechseln. Diese Lizenz-Politik wird so von vielen Software-Unternehmen gehandhabt, weswegen es erforderlich ist, dass man mit Bedacht beim Kauf vorgeht. Nichtsdestotrotz wurden die Preise angepasst und verringert und das Zeitlimit von Software Updates wurde komplett entfernt.

6 Nutzung der Lizenz

6.1 Kann man die Festplatte formatieren oder re-flashen?

Formatieren oder das anfertigen und Verteilen eines Images der Festplatte mit Nicht-Mikrotik-Tools (wie z.B DD und Fdisk) zerstört die Lizenz. Es ist nicht zu empfehlen und der Mikrotik Support könnte die Anfrage nach einem Ersatzschlüssel ablehnen. Für diesen Zweck nutzt man am besten die von MikroTik bereitgestellten Tools Netinstall oder CD-install, welche in der Download Rubrik frei verfügbar sind.

6.2 Auf wievielen Computern kann man die Lizenz nutzen

Die RouterOS Lizenz kann nur in einem System genutzt werden, nicht gleichzeitig in mehreren Systemen. Diese ist an die Festplatte gebunden auf der Sie installiert wurde. Man hat jedoch die Möglichkeit, die Festplatte in ein anderes Computersystem zu integrieren. Die Lizenz ansich kann man jedoch nicht auf eine andere Festplatte transferieren oder die Festplatte formatieren oder überschreiben, ohne dass die RouterOS Lizenz verloren geht und man eine neue erwerben muss. Wenn man die Lizenz ausversehen unbrauchbar gemacht hat, kann man das Support-Team für weitere Hilfe kontaktieren.

6.3 Kann man die Festplatte temporär auch für etwas anderes als RouterOS nutzen?

Wie oben beschrieben geht das nicht, also nein.

6.4 Kann man die Lizenz auf eine andere Festplatte übertragen?

Wenn die aktuell genutzt Festplatte zerstört wurde oder nicht länger genutzt werden kann, ist es möglich, die Lizenz auf eine andere Festplatte zu transferieren. Hierfür muss man einen Ersatzschlüssel beantragen (siehe auch unten), welcher jedoch 10$ kostet.

6.5 Was ist ein Ersatzschlüssel?

Das ist ein spezieller Schlüssel, welcher vom Support Team zur Verfügung gestellt werden, wenn man aus Versehen seine Lizenz verloren hat. Der Support entscheidet dann darüber, ob für 10$ ein neuer ausgestellt wird, welcher dann dieselben Funktionen beinhaltet, wie der verlorene. Zu beachten ist, dass in manchen Fällen auch die Einsendung der alten Festplatte an den Support erforderlich ist, um den entsprechenden Fall eingehend zu prüfen um somit Missbrauch vorzubeugen.

Hinweis: Ausgestellt wird jeweils pro Original-Schlüssel nur ein Ersatzschlüssel. Eine zweimalige Nutzung eines Ersatzschlüssels ist nicht möglich. In Fällen, in denen der Ersatzschlüssel weg ist, muss ein neuer Schlüssel für das Gerät erworben werden.

6.6 Muss man den ganzen Schlüssel am Router eingeben?

Nein, es reicht, wenn man in kopiert und im Telnet Fenster einfügt oder ihn über das License Menü in der Winbox aktiviert.

Kopiervorgang im Telnet Fenster (oder im Winbox New Terminal),

pastelicense

Eine andere Möglichkeit besteht darin, im Winbox License Fenster auf System —> License zu klicken,

applylicensewinbox

6.7 Kann man ein anderes Betriebssystem auf der Festplatte installieren und danach RouterOS?

Nein, weil sobald man Formatierungs- oder Partitionierungswerkzeuge nutzt oder Tools, die etwas am MBR ändern, man die Lizenz verliert und man eine neue kaufen muss. Dieser Vorgang ist nicht umsonst (siehe auch Ersatzschlüssel weiter oben).

6.8 Kann man die Lizenz auf einem anderen System nutzen, wenn das eigene RouterBOARD defekt ist?

RouterBOARDs werden mit intergrierter Lizenz ausgeliefert. Diese Lizenz kann nicht auf ein anderes System übertragen werden, was auch Upgrades mit einbezieht, welche während der Laufzeit des RouterBOARDs eingespielt wurden.

6.9 Von Resellern bezogene Lizenzen

Die Schlüssel, die man von anderen Verkäufern oder Wiederverkäufern käuflich erwirbt, liegen nicht auf dem eigenen www.mikrotik.com Konto vor. Auf diesem liegen nur Lizenzen vor, die einem Mikrotik direkt verkauft hat. Es ist jedoch möglich, diese Schlüssel über den „Request key“ Link im eigenen Konto verfügbar zu machen, ggf . als Beleg oder für Upgrades (wenn verfügbar).

7 Käuflich erworbene Lizenzen und wie man mit diesen umgeht

7.1 Wo kann man RouterOS Lizenzschlüssel erwerben?

Über den Konto Server welcher über www.mikrotik.com verfügbar ist.

7.2 Wenn man den RouterOS Lizenzschlüssel woanders erworben hat?

Wenn man diesen woanders gekauft hat, kontaktiert für Unterstützung das entsprechende Unternehmen.

7.3 Wenn man über eine Lizenz verfügt und diese auf ein anderes Konto übertragen will?

Man kann Zugriffe auf Schlüssel anhand von Virtual Folders verwalten.

8 Siehe auch

Veröffentlicht unter Lizenz | Verschlagwortet mit , , , , , , , , , , , , , , , , , , , | Kommentare deaktiviert für Lizenz

RouterOS Lizenz-Ersatzschlüssel/Replacement Key

Manual:Ersatzschlüssel

  • 1 – Um einen Ersatzschlüssel anzufordern, loggt man sich in seinem Konto auf mikrotik.com ein und geht in die entsprechende Rubrik.

rep-licen-0

  • 2 – Man sendet an den MikroTik Support alle benötigten Informationen. Also Username, alte Software ID und zudem detaillierte Angaben darüber, was passiert ist.

rep-licen-1

  • 3 – Nachdem der Support bestätigt hat, dass der Ersatzschlüssel dem eigenen Konto hinzugefügt wird, prüft man dieses erneut und findet diesen dann wie unten ersichtlich vor.

rep-licen-3

  • 4 – Im Anschluss benutzt man den Ersatzschlüssel.

rep-licen-2

Veröffentlicht unter Ersatzschlüssel | Verschlagwortet mit , , , , , , , , , , | Kommentare deaktiviert für RouterOS Lizenz-Ersatzschlüssel/Replacement Key

Verbindungsorientierte Kommunikation (TCP/IP)/Connection oriented communciation

Manual: Verbindungsorientierte Kommunikation (TCP/IP)

Inhalt

  • 1 Verbindungsorientierte Kommunikation (TCP/IP)
    • 1.1 TCP Verbindungsaufbau und -beendigung
      • 1.1.1 Verbindungsaufbau-Prozess
      • 1.1.2 Verbindungsbeendigung
    • 1.2 Segment-Übertragung (windowing)
    • 1.3 Ethernet-Vernetzung

      • 1.3.1 CSMA/CD
      • 1.3.2 Half und Full Duplex Ethernet
    • 1.4 Einfache Verbindungsbeispiele im Netzwerk
      • 1.4.1 ARP Protokoll-Betrieb

1 Verbindungsorientierte Kommunikation (TCP/IP)

Die verbindungsorientierte Kommunikation ist ein Datenkommunikations-Modus bei dem zuerst eine Verbindung mit einem Remote Host oder Server hergestellt werden muss, bevor der Versand von Daten möglich ist. Ähnlich einem analogen Telefon-Netzwerk in dem erst die Verbindung hergestellt werden muss, bevor man mit der Gegenstelle kommunizieren kann. Die Verbindungsherstellung beinhaltet Handlungen wie z.B. Nummer wählen, Verbindungston erhalten, auf das Ruf-Signal warten usw.

1.1 TCP Verbindungsaufbau und -beendigung

Der Prozess, den das übertragende Gerät nutzt, um eine verbindungsorientierte Sitzung mit einem Remote Peer aufzubauen, nennt sich three-way handshake. Als Ergebnis wird eine (logische) virtuelle Ende-zu-Ende Schaltung erzeugt, bei der eine Flusssteuerung und eine Bestätigung für eine zuverlässige Lieferung verwendet werden. TCP hat mehrere Nachrichtentypen, die beim Verbindungsaufbau und Terminierungsprozess verwendet werden (siehe Abbildung 2.1).Host

image2001

1.1.1 Verbindungsaufbau

  1. Host A, welcher eine Verbindung initialisieren will, sendet ein SYN (synchronisieren)- Paket an Host B, welches eine vorgeschlagene Anfangs-Sequenznummer beinhaltet.
  2. Wenn Host B eine SYN-Nachricht empfängt, gibt er ein Paket zurück, wobei sowohl SYN- als auch ACK-Variablen im TCP-Header (SYN-ACK) gesetzt sind.
  3. Wenn der Host A SYN-ACK empfängt, sendet er ein ACK (Bestätigungs)-Paket zurück.
  4. Host B erhält abschließend ein ACK-Paket und an diesem Punkt ist die Verbindung hergestellt.

Verbindungsorientierte Protokoll-Dienste erwiedern oftmals auf erfolgreiche Sendungs-Zustellungen mit Bestätigungs-Paketen (ACKs). Wenn das Paket gesendet wurde, wartet der Sender auf die Bestätigung vom Empfänger. Wenn hierbei eine Zeitüberschreitung stattfindet und der Sender kein ACK-Paket erhält, wird das Paket erneut übertragen.

1.1.2 Verbindungsbeendigung

Wenn die Datenübertragung komplett ist und der Host die Verbindung beenden will, wird der Terminierungsprozess eingeleitet. . Entgegen dem TCP Verbindungsaufbau, welcher einen three-way handshake nutzt, wird bei der Verbindungs-Terminierung eine  four-way-Nachricht genutzt. Die Verbindung wird terminiert, wenn beide Seiten die Beendigungs-Prozedur durch das senden eines FIN- und erhalten eines ACK-Pakets durchgeführt haben.

  1. Host a, welcher die Verbindung terminieren will, sendet eine spezielle Message mit FIN (Ende) Flagge, welche anzeigt, dass er aufgehört hat, Daten zu senden.
  2. Host B erhält das FIN Segment terminiert aber nicht die Verbindung, sondern wechselt in ein „passive close“ (CLOSE_WAIT) Status und sendet ACK für FIN zurück zu Host A. Jetzt wechselt Host B in den letzten, LAST_ACK Status. Ab diesem Zeitpunkt wird Host B keine weiteren Daten von Host A akzeptieren aber kann weiterhin Daten an Host A übertragen. Wenn Host B über keine weiteren Daten zum senden an Host A verfügt, wird er die Verbindung mit dem senden des FIN Segments terminieren.
  3. Wenn Host A das letzte ACK von Host B erhält, wechselt er in den TIME_WAIT Status und sendet an Host B ein ACK zurück.
  4. Host B erhält das ACK von Host A und schließt die Verbindung.

1.2 Segment-Übertragung (windowing)

Da man nun weiß, wie man eine TCP Verbindung herstellt, benötigt man ein weitergehendes Verständnis davon, wie man einen Datenübertragen managt und wartet.  TCP/IP Netzwerk-Übertragungen zwischen Hosts werden vom TCP-Protokoll verarbeitet.

Vorab sollte man darüber nachdenken, was passiert, wenn wenn Datagramme schneller gesendet werden, als es das empfangende Gerät verarbeiten kann. Der Empfänger speichert diese im Speicher, auch Puffer genannt. Da der Pufferraum jedoch nicht unbegrenzt ist, beginnt der Empfänger, wenn die Kapazität überschritten wird, die Daten-Frames zu verwerfen. Alle verworfenen Frames müssen dann erneut übertragen werden, was der Grund für eine niedrige Übertragungsleistung ist.

Um diesem Problem beizukommen nutzt TCP die Flusskontrolle. Der window Mechanismus wird genutzt, um den Datenfluss zu kontrollieren. Wenn die Verbindung hergestellt ist, benennt der Empfänger das window Feld (siehe auch TCP Header Format, Figur 1.6.) in jedem TCP Frame. Die Window Größe steht für den Größe der erhaltenen Daten, die der Empfänger im Puffer speichern kann. Die window size (in Bytes) wird dem Sender zusammen mit den ACKs gesendet. Mit Hilfe der window Größe lässt sich also kontrollieren, wieviele Informationen von einenm Host zum anderen übertragen werden können, ohne das eine Bestätigung erhalten wird. Der Sender wird also nur die Menge an Bites übertragen, die in der window Größe festgelegt sind und wird dann auf eine Bestätigung eines Updates der window Größe warten.

Wenn die empfangende Anwendung die Daten so schnell verarbeiten kann, wie Sie vom Sender übertragen werden, wird der Empfänger ein ‚positive window advertisement‘ ( ansteigen der windows Größe) mit jeder Bestätigung mit übertragen. Das funktioniert solange, bis der der Sender wieder schneller Daten überträgt, als der Empfänger diese verarbeiten kann und der Buffer des Empfängers wieder überfüllt ist. Dieser Vorgang mündet in einer window advertise Bestätigung mit einer zero window. Ein Sender, der dieses zero window advertisement erhält, muss dann die Übertragung solange unterbrechen, bis wieder ein positive window eintrifft. Die Illustrierung dieses Prozesses ist in Figur 2.2. dargestellt.

image2002
Host A startet die Übertragung mit einer window Größe von 1000, weswegen ein 1000Byte Frame übertragen wird. Der Empfänger (Host B) erwiedert ein ACK mit einer auf 2000 ansteigenden window Größe. Host A erhält ACK und überträgt zwei Frame (jeweils 1000Bytes). Danach schickt der Empfänger ein advertise um die window Größe auf 2500 zu initiieren. Dann überträgt der Sender 3 Frames (zwei enthalten 1000Bytes und einer 500Bytes) und wartet auf ein Bestätigungs-Paket. Die ersten 3 Segmente füllen den Puffer des Empfängers schneller, als die erhaltende Anwendung die Daten verarbeiten kann, weswegen die advertised window Größe den Wert auf 0 setzt, um damit anzuzeigen, dass man erst warten muss, bis wieder eine weitere Datenübertragung möglich ist.

Die Größe von window und wie schnell man diese ansteigen oder verkleinern kann wird in verschiedenen TCP ‚Stauvermeidungs-‚Algorithmen beschrieben, wie z.B. Reno, Vegas, Tahoe etc.

1.3 Ethernet-Vernetzung

1.3.1 CSMA/CD

Das Ethernet System besteht aus 3 Basis-Elementen:

  • Das physikalische Medium, um Ethernet-Signale zwischen Netzwerkgeräten zu transportieren,
  • Medium Zugangskontroll-Systeme welche in jedem Ethernet Interface integriert sind und es mehreren Computern erlaubt eine die Kontrolle über eine faire Verteilung des geteilten Ethernet-Kanals zu erhalten,
  • Ethernet Frame, welcher ein standardisiertes Set von Bits um Daten über das System transportieren.

Ethernet Netzwerke nutzen Mehrfachzugriffe mit Trägerprüfung und Kollisionserkennung (CSMA/CD) Protokolle für die Datenübertragung. Das ist insofern hilfreich, um den Zugriff auf geteilte Datentransferraten, wenn zwei oder mehr Geräte Daten zur selben Zeit übertragen wollen, zu kontrollieren und zu managen. CSMA/CD ist eine Modifikation von CSMA. CSMA/CD wird genutzt, um die Performance von CSMA bei der Beendigung von Übertragungen zu steigern, sobald eine Kollision entdeckt wird, was die Möglichkeit einer zweiten Kollision, bei einem neuen Versuch, verringert.

Bevor man sich mehr über CSMA/CD unterhält, muss man verstehen, was eine Kollision, eine Kollisions-Domain und ein Netzwerksegment ist. Eine Kollision ist das Resultat aus Datenübertragungen, von zwei Geräte aus demselben Netzwerk, die zur selben Zeit stattfinden. Das Netzwerk stellt hier eine „Kollision“ von zwei übertragenen Paketen fest und verwirft beide.

Wenn man eine große Netzwerklösung hat, ist es angebracht, dieses in kleinere Netzwerke aufzuteilen, was oftmals auch als Netzwerk-Segmentierung genannt wird. Durchgeführt wird dies, indem man Router und Switche nutzt – jeder der Switch-Ports legt separate Netzwerk-Segmente an, was in separaten Kollisions-Domains resultiert. Eine Kollisions-Domain ist ein physisches Netzwerk-Segment in einem geteilten Medium, in welchem Daten-Pakete, wenn sie versendet werden, miteinander „kollidieren“ können. Daher kann auf einem Hub nur ein Computer Daten gleichzeitig empfangen, sonst kann es zu einer Kollision kommen und Daten gehen verloren.

image2003
Hubs (auch repeater genannt) werden im Physical Layer des OSI Models angesiedelt, da sie einzig elektrische Signale verarbeiten die eingegangenen Signale an jedem Ihrer Ports wieder ausgeben. Heutzutage sind diese in Netzwerken nichtmehr so häufig anzutreffen und wurden durch Switche ersetzt.

Carrier Sense – Das bedeutet, dass ein Überträger auf einen Carrier (kodierte Informationssignale) von einer anderen Station wartet, bevor er die Übertragung versucht.

Multiple Access – Das bedeutet, dass viele Stationen auf einem Medium senden und empfangen.

Collision Detection – integriert Algorithmen um Kollisionen festzustellen und um auf festgestellte Kollisionen mit dem sogenannten „Jam signal“ zu antworten.

Wenn der Sender bereit ist Daten zu senden, wird permanent geprüft, ob das Medium beschäftigt ist. Wenn das Medium nicht mehr beschäftigt ist startet der Sender die Frame-Übertragung

In Figure 2.4 wird ein einfaches Beispiels dieses CSMA/CD Ablaufs dargestellt.

image2004

  1. Jeder Host im Segment, welcher Daten versenden will, „lauscht“ was auf dem physikalischen Medium (Kabel) los ist und prüft, ob nicht schon ein anderer Daten versendet.
  2. Host A und Host C, auf dem geteilten Netzwerk-Segment, sehen, das kein anderer sendet und versuchen, Frames zu versenden.
  3. Host A und Host C lauschen zur gleichen Zeit weswegen beide zur selben Zeit übertragen werden und eine Kollision eintreten wird. Kollisionen erzeugen „noise“, also einen Wechsel der Voltanzahl der Signal im Kabel.
  4. Host A und Host B stellen diese Kollision fest und senden das “jam” Signal aus, um allen anderen Hosts mitzuteilen, nichtmehr zur selben Zeit Daten zu senden.Host A und Host C müssen nun erneut ihre Daten übertragen, wobei die erneute, gleichzeitige Übertragung nicht erwünscht ist. Um dem vorzubeugen starten Host A und Host B einen random timer (ms) bevor Sie den CSMA/CD Prozess erneut starten, während sie auf dem Kabel lauschen.

Jeder Computer im Ethernet-Netzwerk arbeitet unabhängig von allen anderen Stationen im Netzwerk.

1.3.2 Half und Full Duplex Ethernet

Ethernet Standards, wie z.B Ethernet II und Ethernet 802.3 passieren formal das IEEE (Institute of Electrical and Electronics Engineers) Standardisierungs-Verfahren. Der Unterschied ist, dass der Ethernet II Header ein Protokoll-Typ-Feld beinhaltet, wohingegen in Ethernet 802.3 dieses Feld auf die Länge gewechselt wurde. Ethernet ist die Standard CSMA/CD Zugangs-Methode. Ethernet unterstützt verschiedene Datentransferraten, wie z.B. Ethernet (10BaseT) – 10 Mbit/s, Fast Ethernet (100Base-TX) – 100 Mbit/s, Gigabit Ethernet (1000Base-T) – 1000 Mbit/s über verschiedene Typen von physischen Medien. Dies können z.B Twisted Pair (Kupfer), Koaxial-Kabel oder Glasfaser sein. Heutzutage bestehen Ethernet Kabel aus 4 Twisted Pairs (8 Kabel). Beispielsweise nutzt 10Base-T nur eines dieser Kabelpaare für die Verbindung in beide Richtung den Half-Duplex Modus nutzend.

Die Half-Duplex Datenübertragung bedeutet, dass zwischen zwei Knotenpunkten die Daten in beide Richtunge übertragen werden können, aber nur in eine Richtung, zur selben Zeit. Auch für Gigabit Ethernet gibt es diesen Half-Duplex Standard, dieser wird in der Praxis nicht genutzt.

Full-Duplex Datenübertragungen bedeuten, dass Daten in beide Richtungen, verschiedene twisted pairs nutzend, übertragen werden können und zwar zur selben Zeit. Bei Full Duplex Ethernet können keine Datenkollisionen vorkommen, da der Datenversand und -empfang über verscheiende Kabel laufen, dobei jedes Segment direkt mit einem Switch verbunden sind.  Full-duplex Ethernet bietet in beide Richtungen Performanc. Beispielsweise unterstützt der Computer Gigabit Ethernet (full duplex mode) und das Gateway (Router) unterstützt dies ebenso, dann steht zwischen Computer und Router eine Datentransferrate von zusammengenommen 2Gbit/s zur Verfügung.

1.4 Einfache Verbindungsbeispiele im Netzwerk

1.4.1 ARP Protokoll-Betrieb

Das Address Resolution Protokoll (ARP) ist ein Protokoll, um eine Internet Protocol (IP) Adresse eines Hosts, in einem lokalen Netzwerk, auf einer Hardware Adresse (MAC address) abzubilden. Die physikalische/hardware Adresse ist auch also Media Access Control oder MAC Adresse bekannt. Jedes Netzwerk verwaltet ARP Tabellen (cache) welche MAC Adressen und ihre zugeordneten IP Adressen beinhalten. Die jeweils einzigartigen MAC Adressen identifizieren jedes Netzwerk Interface im Netzwerk. IP Adressen weren verwendet, um einen Pfad zum Ziel auszuwählen (im Routing-Prozess) wohingegen der Weiterleitungs-Prozess von Frames, von einem Interface zum anderen, auf Grundlage der Nutzung von MAC Adressen basiert.

Wenn Host im Netzwerk IP Pakete zu einem anderen Host im Netzwerk versenden wollen, schaut dieser nach der Ethernet MAC Adresse des Ziel-Hosts im ARP Cache. Wenn die MAC Adresse des Ziel-Hosts nicht in der ARP Tabelle ist, dann wird eine ARP Anforderung versandt, um das Gerät mit der entsprechenden IP Adresse zu finden. ARP sendet eine Broadcast Anfrage-Nachricht an alle Geräte im LAN, worin das Gerät mit der entsprechenden IP Adresse aufgefordert wird, seine MAC Adresse mitzuteilen. Ein Gerät, welches die IP Adresse als seine IP Adresse wiedererkennt sendet ARP eine Mitteilung mit der eigenen MAC Adresse. Figur 2.5  verdeutlicht, wie ARP nach der MAC Adresse im lokalen Netzwerk sucht.

image2005

Im folgenden die Kommandos, welche die aktuellen ARP Einträge auf PC (linux, DOS) und auf einem MikroTik Router (die Kommandos können sich rein von der Syntax her unterscheiden, obwohl sie dasselbe durchführen) anzeigen:

Für Windows und Unix-ähnliche Maschinen: arp – a listet alle IP addresses mit den entsprechenden MAC Adressen auf

ip arp print – gleiches Kommando wie arp – a zeigt aber die ARP Tabelle auf einem MikroTik Router an.

[ Top | Back to Content ]

Veröffentlicht unter Verbindungsorientierte Kommunikation (TCP/IP) | Verschlagwortet mit , , , , , , , , , , , , , , , , , , , , , , , , , , , | Kommentare deaktiviert für Verbindungsorientierte Kommunikation (TCP/IP)/Connection oriented communciation

RouterOS FAQ/Häufig gestellte Fragen zu RouterOS

Manual:RouterOS FAQ

Siehe auch: Mikrotik_RouterOS_Preguntas_Frecuentes_(español/spanisch)

Inhalt:

  • 1 Was ist MikroTik RouterOS™?
  • 2 Installation
  • 3 Einloggen und Passwörter
  • 4 Fragen zur Lizenzierung
  • 5 Upgrading
  • 6 Downgrading
  • 7 TCP/IP bezogene Fragen
  • 8 Datentransferraten Management bezogene Fragen
  • 9 Wlan Fragen
  • 10 BGP Fragen

1 Was ist MikroTik RouterOS™?
MikroTik RouterOS™ ist eine Router-Betriebssystem-Software, welches einen normalen Intel PC oder MikroTik RouterBOARD™ Hardware in einen Router verwandelt.
Über welchen Funktionsumfang verfügt RouterOS™?
RouterOS Funktionsumfang
Kann man MikroTiks RouterOS™ Funktionalität testen, bevor man eine Lizenz kauft?
Ja, man kann die Installationsdateien von MikroTik’s Website laden und einen eigenen Mikrotik Router installieren. Der Router verfügt dann für 24Std. über die volle Funktionalität ohne, dass man einen Lizenzschlüssel erwerben muss. Das reicht aus, um den Router z.B an 3 Tage für jeweils 8Std zu testen, wenn man den Router nach jeweils 8Std herunterfährt.
Wo bekommt man einen Lizenzschlüssel?
Man legt einen Account auf MikroTik’s Website an(oben, auf der rechten Seite, auf  www.mikrotik.com). Dort kann man dann mit Kreditkarte einen Schlüssel käuflich erwerben.
Kann man MikroTik Router verwenden, um über einen Provider eine T1, T3, oder andere Highspeed-Anbindung zu nutzen?
Ja, man kann verschiedene, von Mikrotik‘ s RouterOS™ unterstützte NICs installieren und erhält zusammengefasst in einer Box einen Edge router, einen Backbone Router, eine Firewall, einen Datentransferraten-Manager, einen VPN Server, einen Wireless Access Point, einen HotSpot und vieles mehr. Zusätzlich sollte man noch das Specification Sheet und das Manual für unterstützte Interfaces zu Rate ziehen!
Wie schnell wird das sein?
Ein Intel PC ist schneller, als so gut wie jeder proprietäre Router und selbst in einer 100MHz CPU ist ausreichend Rechenkraft vorhanden.
Wie verhält sich die Software im Vergleich zu einem Cisco Router?
Auch bei dieser Software ist so gut wie alles möglich, was auch proprietäre Router zu bieten haben, jedoch zu einem Bruchteil dessen, was diese kosten und gleichzeitiger Flexibilität beim upgraden, Einfachheit des Managements und der Wartung.
Welches Betriebssystem benötigt man, um MikroTik’s RouterOS™ zu installieren?
Es wird kein Betriebssystem benötigt. MikroTik’s RouterOS™ ist ein standalone Operating System. Das OS basiert auf dem Linux Kernel und ist sehr stabil. Die Festplatte wird jedoch beim installieren vollständig überschrieben. Keine zusätzliche Disk-Unterstützung wird angeboten, da nur eine primäre Master HDD oder FlashDisk benötigt wird (eine Ausnahme wäre der WEB Proxy Cache).
Wie sicher ist der Router, wenn er aufgesetzt ist?
Der Zugang zum Router wird über Name und Passwort abgesichert. Zusätzlich können weitere Nutzer hinzugefügt und Rechte für Nutzergruppen gesetzt werden. Remote-Zugriffe auf den Router können auf Nutzer oder IP Adressen beschränkt werden. Über Firewall Filter ist es am einfachsten den Router und das Netzwerk abzusichern.

2 Installation

Wie kann man RouterOS installieren?
RouterOS kann entweder von der CD oder mit Netinstall installiert werden.
Wie groß dürfen die HDDs bei der Nutzung von MikroTik RouterOS™ sein?
MikroTik RouterOS™ unterstützt Festplatten, die größer als 8GB sind (normalerweise bis zu 120GB). Es sollte jedoch sichergestellt werden, dass das BIOS des Motherboards, des Rechners, auf dem der Router läuft, diese Festplattengrößen unterstützt.
Kann man MikroTik RouterOS™ auf jeder Festplatte im eigenen System laufen lassen?
Ja
Gibt es in MikroTik RouterOS™ eine Unterstützung für den Betrieb von mehreren Festplatten?
Ein zweites Laufwerk wird für Web cache unterstützt. Diese Unterstützung wurde in RouterOS v2.8 hinzugefügt, wohingegen ältere RouterOS Versionen nicht mehr als eine Festplatte unterstützen.
Warum stoppt die CD Installation an einem Punkt und geht nicht „den ganzen Weg durch“?
Auf manchen Motherboards funktioniert die CD Installation nicht sauber. Dies sollte mit einem Neustart und einer neuen Installation behoben sein. Wenn nicht, sollte man die Installation mit anderer Hardware ausprobieren.

3 Einloggen und Passwörter

Wie lauten Nutzername und Passwort, wenn man sich auf dem Router das erste Mal einloggt?
Der Nutzername ist immer ‚admin‘ und es gibt kein Passwort (danach drückt man einfach ‚Enter‘). Mit dem ‚/password‘ Kommando kann man das Passwort ändern.
Wie kann man ein vergessenes Passwort wiederherstellen?
Wenn man das Passwort vergisst, gibt es kein zurück und man muss den Router neu installieren.
Nach einem Stromausfall startet der der MikroTik Router nichtmehr
Wenn man den Router nicht heruntergefahren hat, wurde das Dateisystem nicht richtig ausgehangen. Beim starten von RouterOS™ wird ein Dateisystem-Check ausgeführt. Abhängig von der Festplattengröße kann dies einige Minuten in Anspruch nehmen. Diese Prüfung darf nicht unterbrochen werden, da es die Installation unbrauchbar machen würde.
Wie bekommt man Zugriff auf den Router, wenn die LAN Interfaces deaktiviert wurden?
Man kann sich auf den Router entweder lokal (mit Monitor und Tastatur) verbinden oder über die serielle Konsole.

4 Fragen zur Lizenzierung

Wieviele MikroTik RouterOS™ Installations deckt eine Lizenz ab?
Pro RouterOS Installation wird eine Lizenz benötigt. Jeder installierte Router bracht also eine separate Lizenz.
Läuft die Lizenz aus?
Die Lizenz läuft niemals aus. Der Router läuft damit für immer. Die einzige Begrenzung liegt in der Version, auf welche ein Upgrade erfolgen kann. Wenn z.B. angegeben ist „Upgradable to v4.x“ bedeutet dies, dass man alle RouterOS v4 Releases aufspielen kann, aber nicht v5. Dies bedeutet nicht, dass man nicht solange man möchte, auf der v4 verbleiben kann.
// Hinweis von Mikrotik-Blog.de: das ist unserer Wissens nach mit den neuesten RouterOS-Versionen inzwischen hinfällig.
Wie kann man die MikroTik RouterOS™ Software neu installieren, ohne die Software Lizenz zu verlieren?
Man muss mit Hilfe von CD, Floppies oder Netinstall die Neuinstallation von MikroTik RouterOS™ auf der HDD vornehmen und darauf achten, das die vorige Installation noch intakt ist. Die Lizenz ist auf die HDD bezogen, weswegen man diese weder formatieren, noch partitionieren sollte, da dies den Schlüssel löscht. Für die Neuinstallation nutzt man dieselben BIOS Einstellungen für die HDD, wie bei der vorigen Installation!
Kann man die MikroTik RouterOS™ Software Lizenz auf einer anderen Hardware nutzen?
Ja, man kann andere Hardware nutzen (anderes Motherboard oder andere NICs), muss aber darauf achten, dieselbe HDD zu nutzen, da die Lizenz auf die HDD bezogen ist (solange man diese nicht formatiert oder man fdisk Dienste einsetzt). Eine Neuinstallation ist nicht nötig, wenn man andere Hardware nutzt. Wenn man für die Lizenz bezahlt, sollte man sich im klaren darüber sein, dass diese Lizenz nicht auf einer anderen HDD genutzt werden kann, außer auf derjenigen, auf der diese installiert wurde.
Der Lizenz-Transfer auf eine andere Festplatte kostet 10$ und kann über den Support arrangiert werden.
Was kann man machen, wenn die Festplatte, auf welcher MikroTik RouterOS™ installiert wurde zerstört wird und man eine neue installieren muss?
Wenn man für die Lizenz bezahlt hat, kann man eine Mail an support[at]mikrotik.com senden und die Situation beschreiben. Mikrotik verlangt ggf. die Einsendung der zerstörten Hardware um diese zu prüfen, um dann ggf. einen Ersatzschlüssel auszustellen.
Was passiert, wenn diese erneut zerstört wird und man den Ersatzschlüssel verliert?
Derselbe Vorgang wie in der Frage zuvor wird ablaufen, mit dem Unterschied, das in diesem Fall die Einsendung der zerstörten Hardware zwingend erforderlich ist.
Wenn man über eine freie Demo Lizenz verfügt, wird kein Ersatzschlüssel ausgestellt. Hier besorgt man sich einfach nochmals eine neue Demo Lizenz oder erwirbt eine Basislizenz.
Weitere Informationen sind hier verfügbar All_about_licenses
Wie gibt man einen neuen Software Key ein?
Eingabe des Schlüssels über Konsole/FTP:
  • Man importiert die angehangene Datei mit dem Kommando ‚/system license import‘ (man sollte diese Datei auf den FTP-Server des Routers hochladen)
Eingabe des Schlüssels über Konsole/Telnet::

  • Man nutzt copy/paste um den Schlüssel im Telnet Fenster einzugeben (egal, in welchem Untermenü). Hier ist darauf zu achten, den kompletten Schlüssel zu kopieren, inkl. der folgenden Zeilen „–BEGIN MIKROTIK SOFTWARE KEY–“ and „–END MIKROTIK SOFTWARE KEY–„
Eingabe des Schlüssels in der Winbox:

  • Über das ’system -> license‘ Menü, in der Winbox, kann man den Schlüssel ‚pasten‘ oder importieren.
Wie man man eine Korrektur vornehmen, wenn man beim Erwerb die Software ID falsch eingegeben hat?
Auf dem Account Server wählt man `work with keys` aus, wählt den falsch eingegebenen Schlüssel aus und klickt auf `fix key`.
Um mehr über die Schlüssel-Eingabe zu erfahren, geht man auf diese Seite
Eingabe eines RouterOS Lizenz-Schlüssels
Alle anderen Informationen, über Lizenz-Schlüssel, sind hier zu finden
All_about_licenses

5 Upgrading

Wie kann man zusätzliche Pakete, mit zusätzlichen Funktionen installieren?
Man muss hier dieselbe Paket-Datei Versionen auswählen (Mit der .npk-Erweiterung) auf der auch das System-Paket basiert. Über das /system package print Kommando kann man sich eine Liste mit allen, installierten Paketen anzeigen lassen. Den freien Platz auf der Festplatte des Routers prüft man mit dem /system resource print Kommando, bevor man weitere Pakete hochlädt. Sicherzustellen ist, dass man noch mindestens 2MB freien Speicher auf dem Router übrig hat, nachdem man neue Pakete hochgeladen hat!
Man lädt die Dateien mit dem ftp BINARY Modus auf den Router und fährt den Router mit dem /system reboot Kommando herunter und führt damit automatisch einen Neustart durch. Die Pakete werden installiert (das Upgrade wird durchgeführt) während der Router herunterfährt. Dies kann man sich auf dem mit dem Router verbundenen Monitor anzeigen lassen. Nach dem Neustart werden einem die installierten Pakete mit dem /system package print Befehl aufgelistet.
Wie kann man Upgraden?
Um ein Software-Upgrade durchzuführen muss man zuerst die aktuellsten Paket-Dateien herunterladen (*.npk) von Mikrotik.com herunterladen (also das ’system‘ und die zusätzlich benötigten Paket-Dateien). Dann verbindet man sich via FTP und lädt die Pakete über den binary Transfer-Modus auf den Router.
Danach startet man den Router mit dem /system reboot Kommando neu. Mehr Informationen gibt es hier: Upgrading_RouterOS
Nach der Installation von zusätzlichen Funktions-Paketen erscheint das relevante Interface nichtmehr in der /interface print Liste.
Man muss das benötigte Lizenz-Level erwerben oder die erforderlichen NPK Pakete installieren (z.B. das ‚wireless‘ Paket).
Wenn man ein RouterOS Upgrade durchführt, wird dabei die Konfiguration zurückgesetzt?
Nein, die Konfiguration bleibt intakt, wenn man ein Upgrade innerhalb der Version durchführt. Wenn man eine Versions-Stufe wechselt (z.B von V2.5 auf V2.6) kann man die die Einstellungen von manchen Funktionen verlieren, wenn es dabei größere Anpassungen von RouterOS gab. Dem kann man vorbeugen, wenn man bei dem Upgrade zuerst auf die letzte Version (z.B. auf die letzte V2.4-Version) geht und dann erst auf die nächsthöhere Version wechselt.
Wieviel freien Speicherplatz braucht man, wenn man ein Upgrade auf eine höhere Version durchführt?
Man benötigt Speicherplatz für die System- und die zusätzlichen Pakete, für die man ein Upgrade durchführen will. Nach dem hochladen der neueren Versions-Pakete, auf den Router, sollten mindestens noch 2MB freier Speicherplatz vorhanden sein. Wenn nicht, sollte man kein Upgrade durchführen! In diesem Fall sollte man zuerst unbenötigte Pakete zuerst deinstallieren und dann erst das Upgrade durchführen.

6 Downgrading

Wie kann man eine MikroTik RouterOS™ Installation auf eine ältere Version downgraden?
Man kann RouterOS™ von jedem Medium mit einer Reinstallation downgraden. Die Software Lizenz verbleibt hierbei auf der HDD, solange die Festplatte nicht partitioniert oder formatiert wird. Die Konfiguration geht hierbei verloren (Man kann die alte Konfiguration natürlich vorab sichern, die Downgrade Option wird jedoch nicht empfohlen, da hierbei unvorhersehbare Ergebnisse hervorgerufen werden können).
Ein anderer weg ist das /system package downgrade Kommando, solange man nicht ein Downgrade auf V2.7.20 oder niedriger durchführt. Man lädt die älteren Pakete via FTP auf den Router und nutzt dann das /system package downgrade Kommando.

7 TCP/IP bezogene Fragen

Man hat zwei NIC-Karten im MikroTik Router aktiv, welche auch wie gewünscht funktionieren und man kann vom Router aus beide Netzwerke anpingen. Was jedoch nicht möglich ist, ist, dass man von einem Netzwerk, durch den Router, das andere Netzwerk oder einen Host im Internet anpingen kann. Eine Firewall ist nicht aktiv.
Dieses typische Probleme zeigt auf, dass man kein Internet Gateway im Routing eingetragen hat. Immer, wenn man ein neues Netzwerk aufsetzt, muss man auch das neue Gateway (z.B. des ISP) angeben. Eine Route muss für das neue Netzwerk angegeben werden. Alternativ kann man sein eigenes Netzwerk auch „verstecken“, wenn man es maskiert, um Zugang zum Internet zu erhalten. Hier sollte man genauestens das Basis Setup durcharbeiten, da in diesem dieses Problem beschrieben und die Lösung aufgezeigt wird.
Im folgenden Beispiel wird die Maskierung des privaten LAN aufgezeigt:
[admin@MikroTik] ip firewall nat> add chain=srcnat action=masquerade out-interface=Public
[admin@MikroTik] ip firewall nat> print
Flags: X - disabled, I - invalid, D - dynamic 
 0   chain=srcnat out-interface=Public action=masquerade 
Wie kann man die TCP Port-Nummer für Telnet und HTTP Dienste geändert werden, wenn man nicht unbedingt die Ports 23 und 80 nutzen will?
Die angegebenen Ports kann man unter /ip service ändern.
Wenn man die IP Adresse/Maske in der Form 10.1.1.17/24 für das Filtern oder für queuing Regeln nutz, funktionieren diese nicht.
Die Regeln ‚funktionieren nicht‘ da diese aufgrund der nicht korrekt angegebenen Adresse/Maske zu den Paketen passen. Die richtige Form sähe wie folgt aus:
   10.1.1.0/24 for the IP addresses in the range 10.1.1.0-10.1.1.255, or,
   10.1.1.17/32 for just one IP address 10.1.1.17. 
Es muss ein DHCP-Client eingestellt werden, es gibt aber kein ‚/ip dhcp-client‘ Menü.
Die DHCP Funktion ist nicht im Systen Software Paket enthalten, weshalb man das DHCP-Paket extra installieren muss. Man lädt dieses auf den Router und startet diesen neu.
Kann man IPs statisch an MAC-Adressen via DHCP binden?
Ja, man kann statische Lease zum DHCP-Server-Leases-Liste hinzufügen. DHCP ist allerding standardmäßig unsicher und es wäre sicherer, wenn man die User Authentifizierung und IP-Adressen-Vergabe über PPPoE durchführt. Darüber kann man den Nutzer auch auffordern, sich von einer festgelegten MAC-Adresse aus anzumelden.
Wie kann man zwei verschiedene Subnetze maskieren, indem man zwei verschiedene, extern IP Adressen dafür nutzt?
Man nutzt hier /ip firewall nat mit chain=srcnat action=nat, und gibt in  to-src-address die entsprechenden Werte an. Dieser sollte dann eine der externen Adressen des Routers sein. Wenn man action=masquerade nutzt wird to-src-address aussenvorgelassen, da diese automatisch von der externen Router-Adresse ersetzt wird.
Es ist nicht möglich, via PPPoE manche Websites anzusurfen.
In /ip firewall mangle wechselt man die MSS (maximum segment size) auf 40 bytes weniger, als die Verbindungs-MTU. Beispielsweise setzt man die mangle rule bei einem verschlüsselten PPPoE-Link mit MTU=1492 wie folgt:
 / ip firewall mangle 
 add chain=forward protocol=tcp tcp-flags=syn action=change-mss tcp-mss=!0-1448 new-mss=1448

8 Datentransferraten Management bezogene Fragen

wie kann man die Datentransferrate im Bridge Modus kontrollieren (bandwidth shaping)?
In den bridge settings aktiviert man use-ip-firewall.
Kann ich MikroTik als Bridge and einen traffic shaper in einer Maschine nutzen?
Ja, man kann alle, umfangreichen queue management Funktionen nutzen. Man setzt die queue auf das Interface, über welches der Traffic den Router verlässt, wenn er den Router passiert. Dies ist nicht das Bridge-Interface! Die queue auf dem Bridge-Interface bezieht sich nur auf den Traffic, der vom Router verursacht wird.
Kann man Datentransferraten basierend auf der MAC-Adresse limitieren?
Für den Download:
   1. connection-mark all packets from the MAC of each client with different marks
   for each client using action=passthrough:
   /ip firewall mangle add chain=prerouting src-mac-address=11:11:11:11:11:11 \
   action=mark-connection new-connection-mark=host11 passthrough=yes
   2. Remark these packets with flow-mark (again different flow-marks for each connection-marks):
   /ip firewall mangle add chain=prerouting connection-mark=host11 new-packet-mark=host11
   3. We can use these flow-marks in queue trees now.
Während diese Lösung funktionieren sollte, ist sie grundsätzlich fehlerhaft, da das erste Paket jeder für diese Clients bestimmten Verbindung, nicht berücksichtigt wird.
Für den Upload:
   [admin@AP] ip firewall mangle> add chain=prerouting src-mac-address=11:11:11:11:11:11 \
   action=mark-packet new-packet-mark=upload

9 Wlan Fragen

Kann man das Wlan Interface bridgen, während man sich im station mode befindet?
Nein, das ist nicht möglich.

Siehe auch >>

10 BGP Fragen

Siehe auch BGP FAQ und HowTo

 

[ Top | Back to Content ]

Veröffentlicht unter RouterOS FAQ | Verschlagwortet mit , , , , , , , , , , , , , , , , , , , , , , , , , , , , , | Kommentare deaktiviert für RouterOS FAQ/Häufig gestellte Fragen zu RouterOS

Übersicht über die VPN-Variante OVPN

Manual:Interface/OVPN

< Manual:Interface
version

Gültig für RouterOS: v5+

Inhalte

  • 1 Zusammenfassung
  • 2 OVPN Client
    • 2.1 Eigenschaften
    • 2.2 Beispiel
  • 3 OVPN Server
    • 3.1 Server-Konfiguration
  • 4 Überwachung
  • 5 Anwendungs-Beispiel
    • 5.1 Übersicht über die Einrichtung
    • 5.2 Zertifikate erstellen
    • 5.3 Server Konfiguration
    • 5.4 Client Konfiguration

1 Zusammenfassung

Standards:
Package: ppp

OVPN Merkmale die aktuelle nicht unterstützt werden:

  • UDP Modus
  • LZO Datenkompression
  • TLS Authentifizierung
  • Authentifizierung ohne Nutzername/Passwort

2 OVPN Client

Sub-menu: /interface ovpn-client

2.1 Eigenschaften

Property Description
add-default-route (yes | no; Default: no) Um eine OVPN Remote Adresse als Standard Route hinzuzufügen
auth (md5 | sha1; Default: sha1) Erlaubte Authentifikations-Methoden.
certificate (string | none; Default: none) Name des Client-Zertifikats, welches in die certificate list importiert wurde.
cipher (aes128 | aes192 | aes256 | blowfish128; Default: blowfish128) erlaubte Ziffern.
comment (string; Default: ) Möglichkeit um Nachrichten an Interfaces/Einträgen zu hinterlassen
connect-to (IP; Default: ) Remote Adresse des OVPN Servers.
disabled (yes | no; Default: yes) Aktivierung und Deaktivierung eines Interfaces. Standardmäßig ist der Eintrag auf deaktiviert.
mac-address (MAC; Default: ) MAC-adress des OVPN Interfaces. Wird automatisch generiert, wenn sie nicht vorgegeben wird.
max-mtu (integer; Default: 1500) Maximum Transmission Unit. Max Paketgröße, mit der das OVPN Interface senden kann, ohne das Pakete fragmentiert werden.
mode (ip | ethernet; Default: ip) Layer3 oder layer2 Tunnelmodus (alternativ tun, tap)
name (string; Default: ) gesetzter Name eines Interfaces.
password (string; Default: „“) Passwort, welches für die Authentifizierung genutzt wird.
port (integer; Default: 1194) Port auf welchem man sich verbindet.
profile (name; Default: default) Genutzte PPP profile.
user (string; Default: ) Nutzername, welcher für die Authentifizierung genutzt wird.

2.2 Beispiel

Das Beispiel zeigt, wie man einen OVPN Client mit Nutzernamen „test“ und dem Password „123“, sowie dem Server 10.1.101.1 aufsetzt.

[admin@bumba] /interface ovpn-client> add connect-to=10.1.101.1 user=test password=123 disabled=no 
[admin@bumba] /interface ovpn-client> print 
Flags: X - disabled, R - running 
 0    name="ovpn-out1" mac-address=FE:7B:9C:F9:59:D0 max-mtu=1500 connect-to=10.1.101.1 
      port=1194 mode=ip user="test" password="123" profile=default certificate=none auth=sha1 
      cipher=blowfish128 add-default-route=no 

3 OVPN Server

Sub-menu: /interface ovpn-server

In diesem Untermenü werden die Interfaces für jeden verbundenen OVPN Client angezeigt.

Für jeden zum Server aufgebauten Tunnel wird ein Interface angelegt. In der OVPN Server Konfiguration gibt es zwei verschiedene Arten von Interface-Typen.

  • Statische Interfaces werden administrativ hinzugefügt, wenn es erforderlich ist auf einen speziellen Interface-Namen zu verweisen (z.B. in Firewallregeln oder anderweitig) welcher für den entsprechenden Nutzer angelegt wurde.
  • Dynamische Interfaces werden immer dann automatisch zur Liste hinzugefügt, wenn sich ein Nutzer verbunden hat und sein Nutzernamen nicht in der Liste mit statischen Einträgen vorhanden ist oder bereits ein Interface mit diesem Namen aktiv ist, da es keine zwei aktiven Tunnel mit ein und demselben Namen geben kann.

Dynamische Interface erscheinen, wenn sich ein Nutzer verbindet und verschwindet auch wieder, wenn der Nutzer die Verbindung schließt. Es ist also unmöglich, auf diesen Tunnel in der Routerkonfiguration zu verweisen (z.B. in der Firewall) da für gleichbleibende Regeln in Bezug auf einen Nutzer zwingend ein statischer Eintrag vorliegen muss. Abgesehen davon ist es sicher, eine dynamische Konfiguration zu nutzen.

Hinweis: In beiden Fällen müssen PPP Nutzer sorgfältig konfiguriert werden. Statische Einträge ersetzen nicht gleichzeitig die PPP Konfiguration.

3.1 Server-Konfiguration

Sub-menu: /interface ovpn-server server

Eigenschaften:

Property Description
auth (sha1 | md5; Default: sha1,md5) Authentifizierungsmethoden, die vom Server akzeptiert werden.
certificate (name | none; Default: none) Name des Zertifikats, welches der OVPN Server nutzen wird.
cipher (aes128 | aes192 | aes256 | blowfish128; Default: aes128,blowfish128) Erlaubte Ziffern.
default-profile (name; Default: default) genutztes Standard-Profil.
enabled (yes | no; Default: no) Gibt an, ob der OVPN Server aktiv ist oder nicht.
keepalive-timeout (integer | disabled; Default: 60) Gibt die Zeitperiode an (in Sekunden) nach der der Router jede Sekunde ein Keepalive Paket sendet. Wenn kein Traffic und keine Keepalive Antwort für die Zeitperiode zurückkommt (z.B. 2 * Keepalive-Timeout), wird die Verbindung zum nicht antwortenden Client beendet
mac-address (MAC; Default: ) Automatisch generierte MAC-Adresse des Servers.
max-mtu (integer; Default: 1500) Maximum Transmission Unit. Max Paketgröße, mit der das OVPN Interface senden kann ohne dass die Pakete fragmentiert werden.
mode (ip | ethernet; Default: ip) Layer3 oder layer2 Tunnel-Modus (alternativ tun, tap)
netmask (integer; Default: 24) Subnetzmaske, welche beim Client zur Anwendung kommt.
port (integer; Default: 1194) Port auf dem der Serverdienst läuft.
require-client-certificate (yes | no; Default: no) Wenn man hier yes einstellt, prüft der Server, ob das Client-Zertifikat zum selben Zertifikats-Kanal gehört.
[admin@bumba] /interface ovpn-server server set enabled=yes 
[admin@bumba] /interface ovpn-server server set certificate=server 
[admin@bumba] /interface ovpn-server server print 
                     enabled: yes
                        port: 1194
                        mode: ip
                     netmask: 24
                 mac-address: FE:A5:57:72:9D:EC
                     max-mtu: 1500
           keepalive-timeout: 60
             default-profile: default
                 certificate: server
  require-client-certificate: no
                        auth: sha1,md5
                      cipher: blowfish128,aes128

Warnung: Es ist sehr wichtig, dass das Datum, welches auf dem Router hinterlegt ist, aktuell gehalten wird und sich im Zeitrahmen des Ablaufdatums des installierten Zertifikats bewegt. Damit es hier nicht zu Problemen bei der Verifikation von Zertifikaten kommt, sollte man die NTP Datensynchronisation auf Server und Client aktivieren.

4 Überwachung

Um den Verbindungsstatus des Tunnels auf Server und Client zu überwachen, nutzt man das Monitor Kommando.

[admin@dzeltenais_burkaans] /interface ovpn-server monitor 0
     status: "connected"
     uptime: 17m47s
  idle-time: 17m47s
       user: "test"
  caller-id: "10.1.101.18:43886"
        mtu: 1500

Read-only Eigenschaften

Property Description
status () Aktueller Status. Andere Werte als „connected“ deuten auf ein Problem bei der Herstellung des Tunnels hin.
uptime (time) Vergangenen Zeit, seitdem der Tunnel hergestellt wurde.
idle-time (time) Vergangene Zeit, seit der letzten Aktivität im Tunnel.
user (string) Nutzernamen, welcher für die Herstellung des Tunnels genutzt wurde.
mtu (integer) Ausgehandelte und genutzte MTU
caller-id (IP:ID) Quell-IP und Port des Clients.

5 Anwendungs-Beispiel

5.1 Übersicht über die Einrichtung

ipsec-road-warrior

Angenommen, dass die öffentliche IP Adresse des Offices 2.2.2.2 ist und man zwei Remote OVPN Clients Zugang zu 10.5.8.20 und dem 192.168.55.0/24 Netzwerk hinter dem Office Gateway gewähren will.

5.2 Zertifikate erstellen

Alle Zertifikate können auf dem RouterOS Server erstellt werden, wenn man den Zertifikats-Manager nutzt. Beispiel>>.

Für das einfachste Setup braucht man nur ein OVPN Server Zertifikat.

5.3 Server konfigurieren

Der erste Schritt ist, Nutzer und einen IP Pool anzulegen, von welchem aus Client Adressen vergeben werden.

/ip pool add name=ovpn-pool range=192.168.77.2-192.168.77.254

/ppp profile add name=ovpn local-address=192.168.77.1 remote-address=ovpn-pool
/ppp secret
  add name=client1 password=123 profile=ovpn
  add name=client2 password=234 profile=ovpn

Vorausgesetzt dass das Server Zertifikat ist erstellt und dieses wurde als „server“ bezeichnet

/interface ovpn-server server set enabled=yes certificate=server

5.4 Client konfigurieren

RouterOS Client

Da RouterOS kein route-push unterstützt, muss manuell eingetragen werden, welches Netzwerk über den Tunnel erreicht werden soll.

/interface ovpn-client
  add name=ovpn-client1 connect-to=2.2.2.2 user=client1 password=123 disabled=no
/ip route 
  add dst-address=10.5.8.20 gateway=ovpn-client1
  add dst-address=192.168.55.0/24 gateway=ovpn-client1
/ip firewall nat add chain=srcnat action=masquerade out-interface=ovpn-client1

Linux Client konfigurieren

dev tun
proto tcp-client

remote 2.2.2.2 1194

tls-client

user nobody
group nogroup

#comp-lzo # Do not use compression.

# More reliable detection when a system loses its connection.
ping 15
ping-restart 45
ping-timer-rem
persist-tun
persist-key

mute-replay-warnings

verb 3

cipher BF-CBC
auth SHA1
pull

auth-user-pass auth.cfg 

Die Datei auth.cfg beinhaltet die Kombination aus Nutzernamen/Passwort. In der ersten Zeile muss der Nutzernamen und in der zweiten das Passwort stehen.

client2
234

 

[ Top | Back to Content ]

Veröffentlicht unter OVPN, Interface | Verschlagwortet mit , , , , , , , , , , , , , , , , , | Kommentare deaktiviert für Übersicht über die VPN-Variante OVPN

Übersicht über den RouterOS Funktionsumfang/RouterOS features

Manual: RouterOS Funktionsumfang

Inhalt

  • 1 RouterOS Funktionsumfang
    • 1.1 Hardware Unterstützung
    • 1.2 Installation
    • 1.3 Konfiguration
    • 1.4 Sichern und Wiederherstellen
    • 1.5 Firewall
    • 1.6 Routing
    • 1.7 MPLS
    • 1.8 VPN
    • 1.9 Wlan
    • 1.10 DHCP
    • 1.11 Hotspot
    • 1.12 QoS
    • 1.13 Proxy
    • 1.14 System-Werkzeuge
    • 1.15 Andere Funktionen

 

RouterOS Funktionsumfang

RouterOS ist MikroTik’s auf dem Linux Kernel v3.3.5 basierendes Stand-alone Betriebssystem. Die folgende Liste zeigt die in den aktuellen RouterOS Releases enthaltenen Funktionen auf:

1.1 Hardware Unterstützung

  • i386 compatible architecture
  • SMP – multi-core and multi-CPU compatible
  • Minimum 32MB of RAM (maximum supported 2GB, except on Cloud Core devices and CHR installations, where there is no maximum)
  • IDE, SATA, USB and flash storage medium with minimum of 64MB space
  • Network cards supported by linux v3.3.5 kernel (PCI, PCI-X)
  • Partial hardware compatibility list (user maintained)
  • Switch chip configuration support

1.2 Installation

  • M:Netinstall: Full network based installation from PXE or EtherBoot enabled network card
  • Netinstall: Installation to a secondary drive mounted in Windows
  • CD based installation

1.3 Konfiguration

  • MAC based access for initial configuration
  • WinBox – standalone Windows GUI configuration tool
  • M:Webfig – advanced web based configuration interface
  • Powerful command-line configuration interface with integrated scripting capabilities, accessible via local terminal, serial console, telnet and ssh
  • API – the way to create your own configuration and monitoring applications.

1.4 Sicherung / Wiederherstellung

1.5 Firewall

  • Statefull filtering
  • Source and destination NAT
  • NAT helpers (h323, pptp, quake3, sip, ftp, irc, tftp)
  • Internal connection, routing and packet marks
  • Filtering by IP address and address range, port and port range, IP protocol, DSCP and many more
  • Address lists
  • Custom Layer7 matcher
  • IPv6 support
  • PCC – per connection classifier, used in load balancing configurations

1.6 Routing

1.7 MPLS

1.8 VPN

1.9 Wlan

  • IEEE802.11a/b/g wireless client and access point
  • Full IEEE802.11n support
  • Nstreme and Nstreme2 proprietary protocols
  • NV2 protocol
  • Wireless Distribution System (WDS)
  • Virtual AP
  • WEP, WPA, WPA2
  • Access control list
  • Wireless client roaming
  • WMM
  • HWMP+ Wireless MESH protocol
  • MME wireless routing protocol

1.10 DHCP

  • Per interface DHCP server
  • DHCP client and relay
  • Static and dynamic DHCP leases
  • RADIUS support
  • Custom DHCP options
  • DHCPv6 Prefix Delegation (DHCPv6-PD)
  • DHCPv6 Client

1.11 Hotspot

  • Plug-n-Play access to the Network
  • Authentication of local Network Clients
  • Users Accounting
  • RADIUS support for Authentication and Accounting

1.12 QoS

  • Hierarchical Token Bucket ( HTB) QoS system with CIR, MIR, burst and priority support
  • Simple and fast solution for basic QoS implementation – Simple queues
  • Dynamic client rate equalization ( PCQ)

1.13 Proxy

  • HTTP caching proxy server
  • Transparent HTTP proxy
  • SOCKS protocol support
  • DNS static entries
  • Support for caching on a separate drive
  • Parent proxy support
  • Access control list
  • Caching list

1.14 Werkzeuge

  • Ping, traceroute
  • Bandwidth test, ping flood
  • Packet sniffer, torch
  • Telnet, ssh
  • E-mail and SMS send tools
  • Automated script execution tools
  • CALEA
  • File Fetch tool
  • Advanced traffic generator

1.15 Andere Funktionen

  • Samba support
  • OpenFlow support
  • Bridging – spanning tree protocol (STP, RSTP), bridge firewall and MAC natting.
  • Dynamic DNS update tool
  • NTP client/server and synchronization with GPS system
  • VRRP v2 and v3 support
  • SNMP
  • M3P – MikroTik Packet packer protocol for wireless links and ethernet
  • MNDP – MikroTik neighbor discovery protocol, supports CDP (Cisco discovery protocol)
  • RADIUS authentication and accounting
  • TFTP server
  • Synchronous interface support (Farsync cards only) (Removed in v5.x)
  • Asynchronous – serial PPP dial-in/dial-out, dial on demand
  • ISDN – dial-in/dial-out, 128K bundle support, Cisco HDLC, x75i, x75ui, x75bui line protocols, dial on demand

 

[ Top | Back to Content ]

Veröffentlicht unter Basic, RouterOS Eigenschaften | Verschlagwortet mit , , , , , , , , , , , , , , , , , , , , , , , , , , , , | Kommentare deaktiviert für Übersicht über den RouterOS Funktionsumfang/RouterOS features

LTE Interface nicht erkannt – Huawei MU609 Modem aktivieren

Auf einem RB912UAG-5HPnD wird das Huawei MU609 LTE Modem nicht erkannt

Nachdem man die SIM-Karte eingesteckt, das Huawei MU609 LTE Modem mit dem miniPCIe-Slot verbunden und zusätzlich die Antennen an das Modem verbunden hat, wird das Modem nach dem Start des RB912UAG-5HPnD nicht in den Interfaces angezeigt. Wenn dies der Fall ist, könnte das ganz simpel daran liegen, dass am mini-PCIe Slot kein Strom ausgegeben wird. Standardmäßig wird am USB-Port Strom ausgegeben, weshalb man die Ausgabe auf den PCIe-Slot umlenken muss.

Man verbindet sich über die Winbox auf das RB912 und öffnet das Terminal. Dort gibt man die Strom-Abgabe über den PCIe-Slot aus:

/system routerboard usb set type=mini-PCIe usb-mode=force-host

Danach müsste das Modem ganz normal in den Interfaces erscheinen.

Veröffentlicht unter Huawei MU609, LTE | Verschlagwortet mit , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , | Kommentare deaktiviert für LTE Interface nicht erkannt – Huawei MU609 Modem aktivieren

Werkzeuge für die Fehlerbehebung/Troubleshooting tools

Manual: Werkzeuge für die Fehlerbehebung

Inhalte

  • 1 Werkzeuge für die Fehlerbehebung

    • 1.1 Netzwerkkonnektivität prüfen

      • 1.1.1 Das Ping Kommando
      • 1.1.2 Das Traceroute Kommando
    • 1.2 Log Files
    • 1.3 Torch (/tool torch)
      • 1.3.1 IPv6
      • 1.3.2 Winbox
    • 1.4 Paket Sniffer (/tool sniffer)
    • 1.5 Datentransferraten-Test
    • 1.6 Profiler

1 Werkzeuge für die Fehlerbehebung

Vor dem näheren Blick auf die bekanntesten Kommandos zur Prüfung der Verbindungsqualität und zur Fehlersuche erfolgt eine kurze Auffrischung darüber, wie man die Netzwerkschnittstellen des eigenen Computers überprüft.

Microsofts Windows verfügt über viele Befehlszeilen-Werkzeuge, welche einem dabei helfen, die LAN und WAN-Interfaces zu prüfen und zu konfigurieren. Hierbei werden nur die gängigsten Netzwerkwerkzeuge und Kommandos von Windows in Augenschein genommen.

Diese Werkzeuge werden vom Windows Terminal aus gestartert, indem man nach Start/Run geht und „cmd“ eingibt, um die Eingabeaufforderung zu öffnen.

Im folgenden einige der unter Windows verfügbaren Kommandos:

ipconfig – Wird genutzt, um sich die Werte der TCP/IP Netzwerkkonfiguration ausgeben zu lassen. Man gibt hierfür „ipconfig“ in der Eingabeaufforderung ein.

C:\>ipconfig
Windows IP Configuration
Ethernet adapter Local Area Connection:
   Connection-specific DNS Suffix  . : mshome.net
   Link-local IPv6 Address . . . . . : fe80::58ad:cd3f:f3df:bf18%8
   IPv4 Address. . . . . . . . . . . : 173.16.16.243
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Default Gateway . . . . . . . . . : 173.16.16.1

Man kann ipconfig natürlich auch noch über zusätzliche Funktionen erweitern. Um eine Liste der zusätzlichen Optionen zu erhalten, gibt man „ipconfig /?“ oder “ipconfig -?” ein.

netstat – Zeigt die aktiven TCP Verbindungen und Ports an, auf welchem der Computer lauschn, Ethernet Statistiken, die IP Routing Tabelle, Statistiken für IP, ICMP, TCP und UDP Protokolle. Ausgestattet ist netstat mit verschiedenen Optionen, um sich Eigenschaften des Netzwerks und von TCP-Verbindungen anzeigen zu lassen. Aufgerufen wird dies mit “netstat –?”.

nslookup – ist das Werkzeug um über die Eingabeaufforderung DNS Server zu testen und Fehler zu finden. Wenn man Beispielsweise wissen will, welche IP-Adresse hinter   „www.google.com“ steht, gibt man „nslookup www.google.com“ ein und findet heraus, dass dahinter mehrere Adressen stehen 74.125.77.99, 74.125.77.104, 74.125.77.147.

netsh – Mit Hilfe dieses Werkzeugs ist es möglich, Windows-basierte Computer über die Eingabeaufforderung zu administrieren und zu überwachen. Es erlaubt die Konfiguration von Interfaces, Routing-Protokollen, Routen, Routing Filtern und die Anzeige der aktuelle aktiven Konfiguration.

Sehr ähnliche Kommandos sind auch auf unix-ähnlichen Maschinen verfügbar. Heutzutage kann man in den meisten Linux Distributionen die Netzwerkeinstellungen über einen GUI verwalten, was es jedoch unabdingbar macht, dass man sich mit den Kommandozeilen Werkzeugen nicht auskennen sollte. Im folgenden eine Liste, welche Basis Netzwerk-Befehle und Werkzeuge unter Linux verfügbar sind:

ifconfig – Es ist ähnlich wie ipconfig unter Windows. Hiermit ist das aktivieren und deaktivieren von Netzwerkadaptern, vergebene IP Adressen und Netzmasken oder die Anzeige der aktuellen Netzwerkkonfiguration möglich.

iwconfig – Ähnlich wie ifconfig und ethtool ist iwconfig jedoch auf Wlan-Karten bezogen und kann sowohl Basis Wlan-Netzwerkdetails anzeigen als auch einstellen.

nslookup – Mit der Eingabe eines Hostnamens wird einem dieses Kommando die zugehörige IP Adresse Ausgeben.

netstat – Zeigt Netzwerkverbindungen mitsamt Portverbindungen, Routing Tabellen, Interface Statistiken, maskierte Verbindungen und mehr an (netstat – r, netstat – a)

ip – Anzeige von (und kann diese manipulieren) Routing, Geräten, Routing-Regeln und Tunneln auf Linux-Maschinen.

Beispielsweise kann man die IP Adresse auf dem anliegenden Interface über das ip Kommando prüfen:

$ip addr show

Das Hinzufügen von statischen Routen ist über das ip Kommando wie folgt möglich:

ip route add {NETWORK address} via {next hop address} dev {DEVICE}, z.B:

$ip route add 192.168.55.0/24 via 192.168.1.254 dev eth1

Die genannten Werkzeuge sind nur ein kleiner Teil der verfügbaren Netzwerk-Werkzeuge unter Linux. Wenn man sich einen kompletten Überblick über die Werkzeuge und Kommandos verschaffen will, nutzt man das man Kommando. Will man sich z.B. alle Optionen von ifconfig anzeigen lassen, gibt man das folgende Kommando im Terminal ein: man ifconfig

1.1 Netzwerkkonnektivität prüfen

1.1.1 Das Ping-Kommando

Ping ist einer der am häufigsten verwendeten und einer der bekanntesten Befehle. Es handelt sich dabei um ein Programm, welches verwendet wird, um zu testen ob ein bestimmter Host über ein Internetprotokoll- (IP) -Netzwerk erreichbar ist, und um die Umlaufzeit für Pakete zu messen, die vom lokalen Host zu einem Zielhost einschließlich der lokalen Schnittstellen des Hosts gesendet werden. 

Ping nutzt das Internet Control Message Protocol (ICMP) Protokoll für echo Antworten und echo Anfragen. Ping sendet ICMP echo Anfrage-Pakete an einen Zielhost und wartet auf ICMP Antwort. Die Ping Ausgabe zeigt die Minimal-, Durchschnitts- und Maximal- Zeit an, welche ein Ping Paket braucht, das entsprechende System zu erreichen und zurückzukehren.

Vom PC:

Windows:

C:\>ping 10.255.255.4
 Pinging 10.255.255.4 with 32 bytes of data:
Reply from 10.255.255.4: bytes=32 time=1ms TTL=61
Reply from 10.255.255.4: bytes=32 time<1ms TTL=61
Reply from 10.255.255.4: bytes=32 time<1ms TTL=61
Reply from 10.255.255.4: bytes=32 time<1ms TTL=61
Ping statistics for 10.255.255.4:
    Packets: Sent = 4, Received = 4, Lost = 0 (0%
Approximate round trip times in milli-seconds:
    Minimum = 0ms, Maximum = 1ms, Average = 0ms

Unix-ähnlich:

andris@andris-desktop:/$ ping 10.255.255.6
PING 10.255.255.6 (10.255.255.6) 56(84) bytes of data.
64 bytes from 10.255.255.6: icmp_seq=1 ttl=61 time=1.23 ms
64 bytes from 10.255.255.6: icmp_seq=2 ttl=61 time=0.904 ms
64 bytes from 10.255.255.6: icmp_seq=3 ttl=61 time=0.780 ms
64 bytes from 10.255.255.6: icmp_seq=4 ttl=61 time=0.879 ms
^C
--- 10.255.255.6 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 2999ms
rtt min/avg/max/mdev = 0.780/0.948/1.232/0.174 ms

Drückt man Ctrl-C bricht man den Ping Prozess ab.
Vom MikroTik:

[admin@MikroTik] > ping 10.255.255.4
10.255.255.4 64 byte ping: ttl=62 time=2 ms
10.255.255.4 64 byte ping: ttl=62 time=8 ms
10.255.255.4 64 byte ping: ttl=62 time=1 ms
10.255.255.4 64 byte ping: ttl=62 time=10 ms
4 packets transmitted, 4 packets received, 0% packet loss
round-trip min/avg/max = 1/5.2/10 ms

Drückt man Ctrl-C bricht man den Ping Prozess ab.

1.1.2 Das Traceroute Kommando

Traceroute zeigt in Listenform die Router an, welche die Pakete passieren, wenn Sie auf dem Weg zu Ihrem Ziel-Host sind. Das traceroute oder tracepath Werkzeugol ist auf so gut wie jedem Unix-ähnlichen Betriebssystem verfügbar, ebenso verhält es sich mit tracert unter Microsoft Windows Betriebssystem.

Die Traceroute Ausführung basiert auf dem TTL Wert und der ICMP Nachricht “Time Exceeded”. Man sollte beachten, dass der TTL Wert im IP Header auch dazu genutzt wird, Routing-Loops vorzubeugen. Jeder Hop verringert den TTL Wert um 1. Wenn der TTL Wert 0 erreicht wird das Paket verworfen und der Sender bekommt die ICMP Nachricht „Time Exceeded“ ausgegeben.

Zuerst setzt Traceroute den TTL-Wert auf 1. Wenn der nächste Router ein Paket mit TTL = 1 findet, setzt es den TTL-Wert auf 0 und antwortet mit einer ICMP-Meldung „time exceeded“ an die Quelle. Diese Nachricht lässt die Quelle wissen, dass das Paket diesen bestimmten Router als Hop durchquert hat. Beim nächsten Mal wird der TTL-Wert um 1 erhöht und so weiter. Typischerweise verringer jeder Router auf dem Weg zum Ziel das TTL-Feld um eine Einheit bis die TTL den Wert 0 erreicht.

Mit Hilfe von Traceroute ist es also möglich, den Weg eines Pakets durch das Netzwerk zu verfolgen und ggf. die Stationen zu finden, wo Fehler stattfinden oder der Paket-Transfer verlangsamt wird. Es ist also anhand dieser Informationen möglich, den Computer, Router, Switch oder andere Netzwerk-Geräte zu bestimmen, die im Netzwerk Probleme bereiten oder Fehler verursachen.

Vom Personal Computer:

Windows:

C:\>tracert 10.255.255.2
Tracing route to 10.255.255.2 over a maximum of 30 hops
  1    <1 ms    <1 ms    <1 ms  10.13.13.1
  2     1 ms     1 ms     1 ms  10.255.255.2
Trace complete.

Unix-ähnlich:

Traceroute und tracepath sind ähnlich, nur braucht tracepath keine SuperUser Privilegien.

andris@andris-desktop:~$ tracepath 10.255.255.6
 1:  andris-desktop.local (192.168.10.4)                  0.123ms pmtu 1500
 1:  192.168.10.1 (192.168.10.1)                          0.542ms 
 1:  192.168.10.1 (192.168.10.1)                          0.557ms 
 2:  192.168.1.2 (192.168.1.2)                            1.213ms 
 3:  no reply
 4:  10.255.255.6 (10.255.255.6)                          2.301ms reached
     Resume: pmtu 1500 hops 4 back 61

Vom MikroTik:

[admin@MikroTik] > tool traceroute 10.255.255.1
     ADDRESS                                    STATUS
   1       10.0.1.17 2ms 1ms 1ms 
   2    10.255.255.1 5ms 1ms 1ms
[admin@MikroTik] >

1.2 Log Files

Die Überwachung von Systemereignissen ermöglicht es, verschiedene Probleme anhand der Log zu debuggen. Das Log File ist eine Textdatei, die im Server/Router/Host erstellt wird und verschiedene Arten von Aktivitäten auf dem Gerät erfasst. Diese Datei ist die primäre Datenanalysequelle. RouterOS kann verschiedene Systemereignisse und Statusinformationen protokollieren. Logs können im Router-Speicher (RAM), Festplatte, oder als Datei gespeichert, per E-Mail gesendet oder sogar an Remote-Syslog-Server übertragen werden.

Alle Nachrichten, die im Speicher des Routers angelegt werden, könnten über das /log Menü ausgegeben werden. Jeder Eintrag enthält Zeit und Datum, wann das Ereignis eintrat, das die Themen-Zugehörigkeit der Nachricht, sowie die Nachricht selbst.

[admin@MikroTik] /log> print
15:22:52 system,info device changed by admin 
16:16:29 system,info,account user admin logged out from 10.13.13.14 via winbox 
16:16:29 system,info,account user admin logged out from 10.13.13.14 via telnet 
16:17:16 system,info filter rule added by admin 
16:17:34 system,info mangle rule added by admin 
16:17:52 system,info simple queue removed by admin 
16:18:15 system,info OSPFv2 network added by admin

Weiterführende Informationen zum Logging unter RouterOS ist hier zu findenRead more about logging on RouterOS sind hier zu finden.

1.3 Torch (/tool torch)

Die Torch ist ein Echtzeit-Überwachungs-Werkzeug, für den Netzwerkverkehr, welches jeden Datenverkehr über ein spezifisches Interfaces überwachen kann.

Damit ist es möglich, Datenverkehr nach Protokoll, Quell-Adresse, Ziel-Adresse oder Port zu überwachen. Die Torch zeigt zudem zum ausgewählten Protokoll auch die jeweils die tx/rx Datentransferrate an.

Beispiel:

Das folgende Beispiel zeit die Überwachung des Datenverkehrs, welcher vom Telnet-Protokoll verursacht wird und das Interface ether1 passiert.

 [admin@MikroTik] tool> torch ether1 port=telnet
 SRC-PORT                     DST-PORT                     TX         RX
 1439                         23 (telnet)                  1.7kbps    368bps

 [admin@MikroTik] tool>

Um zu sehen, was über IP Protokolle via ether1 gesendet wurde:

 [admin@MikroTik] tool> torch ether1 protocol=any-ip
 PRO.. TX         RX
 tcp   1.06kbps   608bps
 udp   896bps     3.7kbps
 icmp  480bps     480bps
 ospf  0bps       192bps

 [admin@MikroTik] tool>

Um zu sehen, welche Protokolle mit einem Host verbunden sind, der an die Schnittstelle 10.0.0.144/32 ether1 angeschlossen ist:

 [admin@MikroTik] tool> torch ether1 src-address=10.0.0.144/32 protocol=any

  PRO.. SRC-ADDRESS     TX         RX
  tcp   10.0.0.144      1.01kbps   608bps
  icmp  10.0.0.144      480bps     480bps
 [admin@MikroTik] tool>

1.3.1 IPv6

Beginnend mit der Version v5RC6 ist die Torch auch in der Lage IPv6-Verkehr anzuzeigen. Zwei neue Parameter wurden eingeführt: src-address6 und dst-address6. Beispiel:

admin@RB1100test] > /tool torch interface=bypass-bridge src-address6=::/0 ip-protocol=any sr
c-address=0.0.0.0/0
MAC-PROTOCOL    IP-PROT... SRC-ADDRESS                                 TX         RX        
ipv6            tcp        2001:111:2222:2::1                          60.1kbps   1005.4kbps
ip              tcp        10.5.101.38                                 18.0kbps   3.5kbps   
ip              vrrp       10.5.101.34                                 0bps       288bps    
ip              udp        10.5.101.1                                  0bps       304bps    
ip              tcp        10.0.0.176                                  0bps       416bps    
ip              ospf       224.0.0.5                                   544bps     0bps      
                                                                       78.7kbps   1010.0kbps


Damit das /ping Werkzeug mit Domain Namen arbeitet, welche IPv6 Adressen auflösen, nutzt man das folgende:

/ping [:resolve ipv6.google.com]

Standardmäßig nimmt Ping IPv4 Adressen.

1.3.2 Winbox

Erweiterte Möglichkeiten mit der Torch sind über die Winbox (Tool>Torch) verfügbar. In der Winbox kann außerdem eine Filterleiste aktiviert werden, wenn man auf der Tastatur F drückt.

image11001

1.4 Packet Sniffer (/tool sniffer)

Mit dem Paket Sniffer Werkzeug ist es möglich, Pakete aufzuzeichnen und zu analysieren, welche über verschiedene Interfaces gesendet und empfangen wurden. Der Sniffer nutzt das libpcap Format.

Paket Sniffer Konfiguration

Im folgenden Beispiel wird ein streaming-server hinzugefügt, Streaming aktiviert, ein  file-name für den Test gesetzt und der Paket Sniffer gestartet (und nach einiger Zeit wieder gestoppt):

 [admin@MikroTik] tool sniffer> set streaming-server=192.168.0.240 \
 \... streaming-enabled=yes file-name=test
 [admin@MikroTik] tool sniffer> print
             interface: all
          only-headers: no
          memory-limit: 10
             file-name: "test"
            file-limit: 10
     streaming-enabled: yes
      streaming-server: 192.168.0.240
         filter-stream: yes
       filter-protocol: ip-only
       filter-address1: 0.0.0.0/0:0-65535
       filter-address2: 0.0.0.0/0:0-65535
               running: no
 [admin@MikroTik] tool sniffer> start
 [admin@MikroTik] tool sniffer> stop

Hierbei kann man verschiedene Paket Sniffer Parametet verwenden, wie z.B. das Maximum des genutzten Speichers und das Datei-Größen-Limit in KB.

Das Paket Sniffer Werkzeug

Es gibt drei Kommandos, um die Runtime Operation des Sniffers zu kontrollieren:

/tool sniffer start, /tool sniffer stop, /tool sniffer save.

Das start Kommando nutzt man, um das mitschneiden zu starten und zurückzusetzen. stop stoppt den Mitschneideprozess. Um die mitgeschnittenen Pakete in einer Datei zu speichern, nutzt man das save Kommando.

In the following example the packet sniffer will be started and after some time - stopped:
 [admin@MikroTik] tool sniffer> start
 [admin@MikroTik] tool sniffer> stop

Im folgenden werden die mitgeschnittenen Pakete in der Datei test gespeichert:

 [admin@MikroTik] tool sniffer> save file-name=test

Mitgeschnittene Pakete betrachten

Um die Pakete zu betrachten, gibt es verschiedene Untermenüs.

  • /tool sniffer packet – show zeigt eine Liste der mitgeschnittenen Pakete an
  • /tool sniffer protocol – show zeigt alle Protokolle an, die mitgeschnitten wurden
  • /tool sniffer host – zeigt eine Liste der Hosts an, welche in einem Mitschneidevorgang eines Datenaustauschs involviert waren

Beispiel:

 [admin@MikroTik] tool sniffer packet> print

  # TIME    INTERFACE   SRC-ADDRESS
  0 1.697    ether1    0.0.0.0:68 (bootpc)        
  1 1.82     ether1    10.0.1.17
  2 2.007    ether1    10.0.1.18
  3 2.616    ether1    0.0.0.0:68 (bootpc)
  4 2.616    ether1    10.0.1.18:45630
  5 5.99     ether1    10.0.1.18
  6 6.057    ether1    159.148.42.138
  7 7.067    ether1    10.0.1.5:1701 (l2tp)
  8 8.087    ether1    10.0.1.18:1701 (l2tp)
  9 9.977    ether1    10.0.1.18:1701 (l2tp)
 -- more

Das folgende Bild zeigt die Sniffer GUI in der Winbox, welche in der Handhabung noch Nutzerfreundlicher ist.

image11002

Weitergehende Kommando-Details sind im manual >> zu finden.

1.5 Datentransferraten-Test

Der Datentransferraten-Test nutzt man, um den Datendurchsatz zu (in Mbit/s) zu einem anderen MikroTik Router zu messen (egal ob Ethernet oder Wlan Netzwerk) und „Flaschenhälse“ im Netzwerk zu lokalisieren, also die Netzwerkkomponenten, mit dem geringsten Datendurchsatz.

Dieser Test nutzt zwei Protokolle, um die Datentransferrate zu bestimmen:

  • TCP – Nutzt die Standard TCP Protokoll Betriebsprinzipien, mit allen Hauptkomponenten, wie z.B. Verbindungsinitialisierung, Paket Bestätigungen, congestion window Mechanismus und allen anderen Funktionen des TCP Algorithmus. Für Details zu internen Geschwindigkeitseinstellungen und wie man diese analysiert, findet man in der TCP protocol Rubrik noch weitere Hinweise. Statistiken über den Durchsatz werden auf Grundlage des kompletten TCP Datenstroms berechnet. Interne Rückmeldungen durch das TCP-Protokoll selbst, also die Auslastung der Verbindung durch TCP, gehen nicht in der Durchsatz-Ermittlung auf. Aus diesem Grund sind diesbezügliche Statistiken nicht so zuverlässig, wie die auf UDP basierenden Berechnungen der Datentransferrate.
  • UDP traffic – UDP sendet 110% mehr Pakete, als auf der anderen Seite als erhalten angezeigt werden. Um den maximalen Durchsatz auf dem Link zu erhalten, sollte die Paketgröße auf das Maximum der erlaubten MTU des Links gesetzt werden, was normalerweise einem Wert von 1500 Bytes entspricht. Bei dem Test mit UDP wird keine Bestätigung benötigt. Diese Messung zeigt einem dann den annähernd größtmöglichen Durchsatz an.

Zu beachten ist, dass der Bandwidth Test standardmäßig die komplette Datentransferrate nutzt, was natürlich einen Einfluss auf das übrige Netzwerk haben kann.

Wenn man den realen Datendurchsatz eines Routers ermitteln will, sollte man durch diesen hindurch messen und nicht bis zu ihm oder von ihm weg! Dies bedeutet, dass man 3 Router in Reihe braucht, um ein zuverlässiges Testergebnis zu erhalten:

Bandwidth Server – zu testender Router – Bandwidth Client.

Hinweis: Wenn man das UDP Protokoll nutzt dann zählt der Bandwidth Test den IP header+UDP header+UDP data. Für den Fall, dass man TCP nutzt, wird hingegen nur die  TCP data (TCP header und IP header werden nicht mitgerechnet).

Konfigurationsbeispiel:

Server

Um den bandwidth-test server mit client authentication zu aktivieren:

[admin@MikroTik] /tool bandwidth-server> set enabled=yes authenticate=yes
[admin@MikroTik] /tool bandwidth-server> print 
                  enabled: yes
             authenticate: yes
  allocate-udp-ports-from: 2000
             max-sessions: 100

[admin@MikroTik] /tool bandwidth-server>

Client

Um den UDP bandwidth test in beide Richtungen laufen zu lassen, werden user name und password des remote Bandwidth Server benötigt. In diesem Fall ist der user name ‘admin’ und es gibt kein Passwort.

[admin@MikroTik] > tool bandwidth-test protocol=udp user=admin password="" direction=both \
address=10.0.1.5
                status: running
              duration: 22s
            tx-current: 97.0Mbps
  tx-10-second-average: 97.1Mbps
      tx-total-average: 75.2Mbps
            rx-current: 91.7Mbps
  rx-10-second-average: 91.8Mbps
      rx-total-average: 72.4Mbps
          lost-packets: 294
           random-data: no
             direction: both
               tx-size: 1500
               rx-size: 1500

-- [Q quit|D dump|C-z pause]      

Einen erweiterten Überblick über alle Kommandos gibt es in the manual>>

Profiler

Das Profiler Werkzeug zeigt die Auslastung der CPU für jeden Prozess, der aktuell unter RouterOS aktiv ist. It helps to identify which process is using most of the CPU resources.

profiler
Read more >>
[ Top | Back to Content ]

Veröffentlicht unter Basic, Tools | Verschlagwortet mit , , , , , , , , , , , , , , , , , , , , , , , , , | Kommentare deaktiviert für Werkzeuge für die Fehlerbehebung/Troubleshooting tools