Wenn wir schon ein DSL-Modem am laufen haben, gehen wir daran, am Router einen WAN-Port zu definieren, auf dem wir einen PPPoE-Client einrichten. An den restlichen Ports, inkl. Wlan-Interface geben wir dann ein eigenes, privates Netz aus (irgendwas in Richtung  192.168.x.x/24)

Wir verbinden uns mit der Winbox auf das schon in Teil1zurückgesetzte und auf den neuesten Stand (RouterOS/Firmware) gebrachte Mikrotik Gerät und gehen wie folgt vor:

  1. Port1 soll als PPPoE-Client konfiguriert werden
  2. Der Router soll die IP 192.168.123.1 bekommen und ein DHCP-Server soll auf den Ports 2,3,4,5 und über Wlan gültige IP-Adressen aus dem Netz 192.168.123.0/24 ausgeben
  3. Die Endgeräte aus dem genannten Netz sollen über die PPPoE-Verbindung nach außen maskiert werden, wir richten also NAT ein.
  4. Wir richten Wlan am Router ein: SSID, Frequenz, Verschlüsselung
  5. Firewall: Wir richten ein paar sinnvolle Regeln ein, um Zugriffsversuche, via unserer offiziellen IP, von vornherein abzublocken.

Zu 1.
-Wir gehen nach Interface und wählen über das + den “PPPoE-Client” aus. Als Interface wählen wir ether1.
Zur Sicherheit (falls unsere Einwahldaten falsch sind, und damit wir nicht wegen zuvielen, falschen Einwahlversuche gesperrt werden) konfigurieren wir den PPPoE-Client im inaktiven Zustand. Hierzu klicken wir ihn einmal an und drücken [strg+D].
Dann doppelklicken wir erneut auf den PPPoE-Client und im Reiter “Dial Out” geben wir unseren User und das Passwort ein und aktivieren “Use Peer DNS” und “Add Default Route”. Wir klicken “apply” und rufen das Log und das Terminal auf. Im Log müsste der Verbindungsversuch angezeigt werden. Im Terminal schauen wir uns das Ganze auf der Kommandozeile an:

interface pppoe-client monitor pppoe-out1

Wenn Sie ihre Daten korrekt eingegeben haben, müsste die Verbindung dann auch schon hergestellt worden sein.

Zu 2.
-Wir gehen in die Rubrik Bridge und klicken + und dann ok. Eine Bridge wurde angelegt (“bridge1”).
-Wir gehen wieder in die Rubrik Bridge und dort in den Reiter Ports. Dort fügen wir über + der angelegten bridge1 nacheinander die Ports 2-5 sowie wlan1 hinzu.
Wenn wir aus der Winbox-Sitzung geschmissen werden, dann, weil wir den Port, über den wir mit dem Gerät verbunden sind, der Bridge hinzugefügt haben.
-Wir gehen nach IP-Adresses und klicken auf +.  Address=192.168.123.1/24,
Interface=bridge1 (das ist die IP unter welcher dann der Router erreichbar ist, die Netzgröße definieren wir mit “/24”)
-Danach gehen wir nach IP>DHCP-Server und klicken auf DHCP Setup. Wir wählen die Bridge=bridge1 aus und der Rest geht von allein. Address Space, Gateway(=Router-IP) und co werden von allein eingetragen. Diese sind unter IP>DHCP-Server>Network zu finden. Dort können wir dann auch die vom Provider vorgegebenen DNS-Server eintragen.
-Wollen wir den DHCP-IP-Pool begrenzen, gehen wir nach IP Pool. Angeschlossene Geräte werden nun aus dem angelegten IP Pool bedient.

Zu 3.
-Wir gehen nach IP>Firewall> und klicken +. Im aufgehenden Fenster sehen wir “Chain=srcnat”, was richtig so ist. Bei “Out. Interface” geben wir nicht ether1 sondern den pppoe-out1 als Interface an, über das unser internes Netz maskiert wird. Im Reiter Action geben wir bei Action “masquerade” ein. Das NAT wär nun fertig.

Zu 4.
Wir gehen nun nach Wireless und Doppelklicken auf wlan1. Im Reiter “Wireless” geben wir die folgenden Punkte ein:

  • Mode: ap bridge
  • Band 2GHz-B/G/N
  • Channel Width: 20MHz (Mikrotik nimmt Standardmäßig 20/40MHz Ce)
  • SSID: IHRWUNSCHNAME (maximal 32 Zeichen)
  • Radio-Name: IHRWUNSCHNAME
  • Scan List: default belassen
  • Wireless Protocol: 802.11
  • Security Profile: angelegtesProfil
  • Frequency Mode: regulatory domain (um den deutschen Richtlinien zu entsprechen
  • Country: Germany (um den deutschen Richtlinien zu entsprechen
  • Antenna Gain: den hier einzugügenden Wert finden wir wie folgt. Gehen Sie auf Routerboard.com, dort auf Ihr Gerät und suchen sie den Antenna Gain Wert, diesen tragen wir hier ein. Kommazahlen werden wie folgt genutzt: 1,5 > wir nehmen 1 (um den deutschen Richtlinien zu entsprechen)
  • Der Rest bleibt. Klicken Sie auf Apply
  • Nach dem Apply gehen wir erneut in den Reiter Wireless und wählen bei Frequency: 2472 (in der Regel nehmen wir hier Kanal 1,5,9,13. Wir wählen den Kanal so aus, dass wir anderen in der Umgebung funkenden 2,4GHz Routern so weit als möglich aus dem Weg gehen, damit unser Funknetz so wenig als möglich durch diese gestört wird.

Das Gerät wäre nun betriebsbereit, für den Einsatz im heimischen Netzwerk.

Zu 5.
Im Mikrotik-Wiki wurde hier ein anfänglich recht sinnvolles Set aus Regeln bereitgestellt, die wir für`s erste nutzen können: http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter#Basic_examples

/ip firewall filter
add chain=input connection-state=invalid action=drop \
       comment="Drop Invalid connections"  
add chain=input connection-state=established action=accept \
        comment="Allow Established connections"  
add chain=input protocol=icmp action=accept \
        comment="Allow ICMP" 
add chain=input src-address=192.168.123.0/24 action=accept \
        in-interface=!pppoe-out1 
add chain=input action=drop comment="Drop everything else"

Wir definieren hier unser privates Netzwerk als 192.168.123.0/24 und den WAN-Port is ether1. We will set up firewall to allow connections to router itself only from our local network and drop the rest. Also we will allow ICMP protocol on any interface so that anyone can ping your router from internet.

 

Links:
Zurücksetzen, RouterOS Update, Firmware Updatehttps://mikrotik-blog.de/erstinbetriebnahme-eines-mikrotik-routers-teil1-zuruecksetzen-update-routeros-upgrade-firmware/
Konfiguration eines Mikrotik Routers als DHCP-Client: https://mikrotik-blog.de/erstinbetriebnahme-eines-mikrotik-routers-teil2-konfiguration-des-routers-dhcp-client-nach-extern/