Hardware

MikroTik Router RB3011UiAS

Ein wahres Schmuckstück an Router, doch warum hat er den Weg zu mir gefunden?

Meine Anforderung: VLAN-Routing und mehr Kontrolle über den Netzwerktraffic, vor allem in Zeiten von IoT, wo selbst Toaster mittlerweile Internet haben möchte ich das Ganze etwas eindämmen und kontrollieren.

Anforderungen

Da mein Netzwerk Gigabit – Geschwindigkeit hat und ich ein eigenes VLAN für Server, NAS, etc. machen will sollte der Router genug Durchsatz bieten.

Ebenfalls habe ich ein kleines 19″ Rack, ideal für Netzwerkhardware um sie zentral und kompakt unter zu bringen.

Da ich Beruflich mit CISCO, Juniper etc. zu tun habe scheue ich kein Professionelles Interface und kann erweiterte Funktionen nutzen, möchte privat aber auch nicht Stunden mit Konfiguration verbringen, es darf also etwas sein, das die Anforderungen im Bereich „KMU“ erfüllt…

Auswahl

Bei der Suche bin ich schließlich auf MikroTik gestoßen, einem Netzwerkausrüster aus Lettland mit Geräten die sich eher an Anspruchsvolle/Professionelle Anwender wenden, jedoch zu niedrigeren Preisen.

Ich habe mich also nach Hin- und Her für das Modell RB3011UiAS entschieden: Gigabit, 19″ Bauform, RouterOS mit mannigfaltigen Routing-Optionen, 10 Ports, davon 1 PoE-Port, 1 GB Ram für Routing und VPN-Verbindungen und „Unbegrenzte Anzahl an PPTP und L2TP Tunnel“ in der Lizenz enthalten. Ach Ja das Gerät ist relativ Preisstabil bei um die 150 Euro… Vergleicht einfach mal welche sonstigen Geräte auf Profi-Niveau…

Hier ein kurzer Hinweis: Dieses Gerät ist definitiv zugeschnitten auf Menschen die sich 1. mit Netzwerktechnik auskennen und dies auch im Detail konfigurieren wollen. Demnach fehlt dem Gerät jegliches Modem (Kabel- oder auch DSL-Modem. Man benötigt also ein Gerät für den Internetzugang, kann jedoch ein Modem mittels PPPoE ansprechen oder wie ich eine Fritzbox vorschalten die zusätzlich Telefonie etc. bereitstellt, trotzdem ist das Einrichten einer Fritzbox eine komplett andere Ebene als das Einrichten eines „Profirouters“ – in letzteres musste ich mich selber ebenfalls einarbeiten… also genau überlegen ob man das will / die Zeit investieren möchte oder ob man das Know-How bereits hat und nur ein neues Gerät lernen muss).

Da ich das Gerät nun einige Zeit in Nutzung habe breche ich einmal herunter was ich aktuell nutze und wie meine Erfahrungen sind:

  • Aktuell habe ich einen WLAN-AP an diesem Router und lasse diesen mittels PoE speisen: 1 Netzwerkkabel zum AP, mehr braucht es nicht. Zum Access Point mache ich nochmal einen eigenen Beitrag, aber hier sei erwähnt: Ja man kann einen PoE-AccessPoint am PoE-Ausgang betreiben!
  • VLAN und das Routing mehrerer VLANs funktioniert wunderbar, wobei ich am MikroTik ein VLAN pro Port nutze und auf dem Switch dann das Tagging / die Unterteilung mache.
    Denkbar wäre auch das Arbeiten mit Virtuellen Interfaces auf dem Router und einem Tagging der Ports, wodurch man mehr als 10 VLANs aufspannen könnte. Hier habe ich lediglich mein WLAN-AP getagged und verteile hier verschiedene WLANs auf verschiedene VLANs. Die einzelnen VLANs möchte ich jedoch für mich pro Port betreiben, da dies einfacher ist und ich nicht so viele VLANs habe dass ich nicht aus käme…
  • Der Router hat ein Display mit dem man am Gerät z.b. den Datendurchsatz einzelner Interfaces anzeigen zu lassen. Dies ist hilfreich um schnell und ohne Rechner analysieren zu können, mir hat es am Anfang geholfen hier verschiedene Daten abzurufen, als ich „in der Aufbau/Rumtestphase“ war. (Hierzu unten noch ein eigener Abschnitt).
  • Ich habe ein Monitoring mittels Icinga1 und konnte mir mittels SNMP und einem eigenen Nagios-Plugin für Mikrotik ein sehr einfaches Monitoring aufbauen, welches die Systemauslastung prüft, die Temperatur überwacht, um im Falle eines Hitzestaus Alarm zu geben. Weiterhin habe ich eine Überwachung des Datendurchsatz, jedoch noch nicht herunter gebrochen auf einzelne Interfaces, was jedoch möglich ist und bei mir noch auf der ToDo-Liste ist.
  • Prinzipiell kann man UMTS/LTE-Sticks per USB anschließen und einen LTE/UMTS B-Kanal aufbauen für Netzwerkstörungen…. Ich habe hier versucht mit einem alten UMTS-Stick ein SMS-Gateway zu bauen, da RouterOS ebenfalls SMS auf diesem Wege versenden kann, jedoch war mein stick entweder kaputt (durchaus möglich) oder inkompatibel (genau so gut möglich). – Dies ist eine MÖGLICHKEIT jedoch sollte klar sein, dass dies ziemliches „Gefrickel“ ist und man Idealerweise einen neuen Stick kauft den man aus der Kompatibilitätsliste auswählt… Ich gebe separat Bescheid, wenn ich das irgendwann mal geschafft habe…
  • DHCP-Server für alle Subnetze mit zentral verwalteten IPs.

 

Die Firewall und das Routing ist sehr mächtig und bedarf, ähnlich wie CISCO oder JUNIPER-Geräte einiger Einarbeitung. Daher: Bitte Erfahrung mit solchen Geräten mitbringen oder aber grundlegende Netzwerkerfahrung mitbringen und wissen was es mit Routing, Routingregeln, Interfaces auf sich hat.

Ein Beispiel hier am Rande: Als ich zum Ersten mal einen Server auf Port 80 und 443 freigeben wollte,
um dies auf der Fritzbox freizugeben - Also einen Webserver in einer DMZ nach Außen zu betreiben -
da habe ich ich Port 80 und Port 443 an eben diesen Server im richtigen VLAN weiterleiten lassen...
Na, hat es schon wer gemerkt? - Richtig: Keine Internetseiten mehr erreichbar, denn ALLE Zugriffe auf Port 80 und 443 wurden wegen meines logischen Fehlers umgebogen...
Also genau Spezifizieren über welches Interface und mit welcher Ziel-IP die Pakete weitergeleitet werden sollen...
=> Dies nur ein kleiner Einschub der Zeigt, dass man hier wirklich GENAU arbeiten muss.

Wer sich generell für das OS von Mikrotik, das „RouterOS“ interessiert und neugierig ist, der kann sich bei Mikrotik eine x86 – Version laden und in einer VM einmal ansehen. Die Trial-Lizenz läuft 24 Stunden, eine kostenlose Lizenz gibt es nach Registrierung, diese kann jedoch nicht so viel, aber hilft zu sehen, wie der Router am Ende konfiguriert wird und evtl reicht sie dem einen oder anderen ja auch schon…

Die Testing-Startphase

Wie gesagt werde ich noch einen eigenen Artikel schreibe zum Monitoring der Mikrotik-Geräte.

Sofern Nachfragen kommen kann ich auch eigene Beiträge zu verschiedenen Konfigurationen machen, ich selber habe mir Beispiele vorbereitet, um neue Geräte in die Firewall einzutragen, welche ich zu Beginn durch Intensives Rumtesten erarbeitet habe. Gerade in der Startphase habe ich das Gerät das Ein oder Andere mal auf Factory Defaults zurück gesetzt (Sehr einfach auch am Display durchzuführen!).

Wichtig ist sich in dieser Phase mit den Eigenheiten der Hardware / Softwareeinrichtung vertraut zu machen. Ein Tipp von mir ist es häufiger die aktuelle Konfiguration zu sichern, um diese wieder her stellen zu können…

Mein Tipp ist es zuerst die Interface-Konfiguration zu machen und sich dann Top-Down in die Details vorzuarbeiten. Ich selber habe dies bereits in meinem Netzerk gemacht, um direkt zu sehen, wenn etwas nicht klappt (Das geht nur, wenn Ihr Urlaub habt / diese Netzwerkausfälle niemanden stören, ansonsten baut euch eine Testumgebung z.b. mit RaspberryPies o.ä.

Mittlerweile befindet sich mein Gerät im produktiven Betrieb in dem ich keine Netzwerkstörungen mehr haben will und vor neuen Änderungen IMMER eine Sicherung mache und zur Not neu einspielen kann. Weiterhin macht es Sinn sich zu überlegen wann man Firmwareupdates einspielt oder grundsätzliche Änderungen macht, wenn im Haushalt gerade die neue Folge „Game of Thrones“ oder das neue Videos des Lieblingsyoutubers gucken will und das Netzwerk ausfällt… Ihr macht euch keine Freunde 😉

Ein Tipp noch von mir: Der Router hat zwar die Möglichkeit einen Rudimentären DNS-Server zu betreiben… lasst es! Bei mir hat das zwar meistens gut funktioniert, aber bei allen X Anfragen gab es  Zugriffsfehler und hat das Ding rum gesponnen… Evtl war das ein Bug (über mehrere Versionen) oder ich war nur zu dämlich das stabil zu konfigurieren (Wer hier einen Hinweis hat melde sich bei mir, dann teste ich das Gerne noch einmal…)

 

Sollten weitere Fragen zum Gerät bestehen mache ich gerne weitere Beiträge, ebenfalls sobald mir noch irgendeine neue Funktion erwähnenswert oder im Detail Erklärungswert unter kommt.

Fazit

Ich selber habe die Anschaffung definitiv nicht bereut, auch wenn die Lernkurve recht steil war, aber das war auch einer meiner Ziele: Mehr Kontrolle meines Netzwerkes, Aufteilung in VLANs und praktische Erfahrung in die Netzwerkeinrichtung auf professionellem Niveau.

Comment here