Die meisten Router unterstützen diverse DDNS-Dienste, um die eigene dynamische IP-Adresse auf einen externen Hostnamen abzubilden. RouterOS geht hier einen eigenen Weg, denn die bekannten DDNS-Anbieter unterstützt es nur über Umwege beziehungsweise eigene Skripte. Dafür bietet MikroTik mit jedem RouterBOARD den eigenen Dienst kostenfrei an. Diese Funktion aktivieren Sie mittels
/ip cloud set ddns-enabled=yes
und bringen den auf Basis der Seriennummer zugewiesenen und derzeit leider nicht änderbaren Hostnamen, der in der Regel auf ".sn.mynetname.net" endet, mit dem Befehl
/ip cloud print
in Erfahrung. Setzen Sie den MikroTik-DDNS-Dienst als CNAME beispielsweise für den eigenen Mailserver ein, sollten Sie daran denken, den Hostnamen beim Wechsel des Geräts zu aktualisieren, da dieser stets an die individuelle Seriennummer der Hardware gekoppelt ist.
Manche Anbieter schalten so genannte Navigationsdienste, die beim Aufruf ungültiger Adressen eine providereigene Fehlerseite liefern. Wir nutzen daher lieber externe DNS-Server, beispielsweise von Cloudflare oder Google. Zunächst weisen wir den Router an, den übermittelten Nameserver nicht zu benutzen. Dies erfolgt für Kabelmodems via DHCP mit
/ip dhcp-client set 0 use-peer-dns=no
Und für die PPPoE-Einwahl bei DSL per
/interface pppoe-client set 0 use-peer-dns=no
Anschließend konfigurieren Sie händisch die Nameserver, hier am Beispiel von Cloudflare:
/ip dns set servers=1.1.1.1,1.0.0.1
Die englische Wikipedia liefert Ihnen übrigens eine Liste [4] öffentlich zugänglicher DNS-Dienste. Um die Namensauflösung zu testen, starten Sie einen Ping auf eine Seite, die sich dazu nicht mehr im Cache befinden darf:
/ping www.it-administrator.de count=3
RouterOS bietet eine integrierte Firewall, die stark an iptables erinnert, aber dennoch mit eigenen Erweiterungen wie beispielsweise Adresslisten aufwartet. Eine ausführliche Erklärung würde den Rahmen dieses Artikels sprengen. Das MikroTik-eigene Wiki [5] und externe Seiten wie [6] bieten jedoch einen guten Einstieg in die komplexe Materie.
In unserem Beispiel hat das eingangs genutzte Quick Set bereits ein grundlegendes Regelwerk eingerichtet: Eingehende IPsec- und bestimmte ICMP-Verbindungen ("ping") sind erlaubt, anderer eingehender Traffic wird geblockt, ausgehender Traffic ist hingegen nicht gefiltert.
Weiterhin aktiviert RouterOS standardmäßig diverse NAT-Helper (Service Ports), die erfahrungsgemäß insbesondere bei der Nutzung von SIP-Telefonie zu Problemen führen können. Wir deaktivieren daher zunächst alle Service Ports mit dem Befehl
/ip firewall service-port disable [find]
und schalten anschließend nur diejenigen ein, die wir benötigen. Nützlich sind beispielsweise ausgehende PPTP-Verbindungen für ein VPN und der Zugriff auf FTP-Server, die Sie einfach per Komma getrennt auf der Kommandozeile nennen:
/ip firewall service-port enable ftp,pptp
Für den Zugriff von außen ist SSH geradezu prädestiniert, weswegen wir den Zugang so gut wie möglich absichern. WinBox bietet hier keine weiteren Möglichkeiten, auf der Kommandozeile steht uns aber etwas Feintuning zur Verfügung. Um einen Host-Key mit 4096 Bit zu erzeugen und ausschließlich starke Kryptographie zuzulassen, nutzen Sie
/ip ssh set strong-crypto=yes
/ip ssh set host-key-size=4096
/ip ssh regenerate-host-key
Da sich dadurch der Fingerprint des Servers ändert, warnt der SSH-Client beim nächsten Verbindungsversuch vor einer "Man in the Middle"-Attacke.
Zusätzlichen Sicherheitsgewinn bringt das Umbenennen des Admin-Benutzers, was Sie mit
/user set admin name=meinname
bewerkstelligen. Dieser neue Benutzername gilt künftig auch für die Verbindung per WinBox. Unbedingt empfehlenswert ist auch die Nutzung von SSH-Keys statt Passwörtern [7].