# Konfiguration eines Wohnheimrouters mit Mikrotik ### Aufgabe: Konfiguriere einen für ein Wohnheim vorgesehenen Mikrotik- Router, der gleichzeitig auch als Gateway und Firewall für die dahinterstehenden Clients dient. (Dies ist nur eine Zusammenfassung meiner täglichen Tätigkeiten und wird am Ende zu einer Dokumentation Zusammengefasst) ## Erster Zugriff auf den Router(30.04.21) Um erstmals Zugriff auf den Router zu erlangen haben wir uns mit einem seriellen Kabel auf die Konsole eingeloggt und den Zugriff über ssh aktiviert und ein public- und private- Schlüsselpaar angelegt, sodass keine unberechtigten Personen auf die Konsole kommen. Außerdem mussten wir dazu eine IPv4 und eine IPv6 Adresse auf die Ports legen um sich ganz einfach per LAN-Kabel verbinden zu können. Das Routermenü haben wir mit Winbox kennengelert und einige Sachen darin veranschaulicht. ## Informationssammlung und Grundlegende Begriffe(03.05.21) Damit die Grundlagen klar sind, habe ich mir einige Inhalte zu DHCP und Firewalls angeschaut und im Routermenü abgeglichen. ## Neukonfiguration des Routers(6.05.21) Wegen einigen Problemen haben wir dem Router wieder von neu aufgesetzt, Zugriff mit ssh ermöglicht und einige Standardeinstellungen getroffen. ## Adressbereich erweitert (7.05.21) Um aus unserem Netzbereich an die "Außenwelt" zu gelangen,muss der Adressbereich erweitert werden. Dieser sollte möglichst auf eine unspezifische Adresse 0.0.0.0/0 liegen, da sich spezifische Adressen immer auf einen bestimmten, vorgegebenen Raum beziehen. Um den Zugriff von Dritten auserhalb des Uni-Netzes zu verhindern, ist es wichtig, eine Firewall zu konfigurieren. (Da es sich beiden momentan eingesellten Regeln bislang nur um die eintreffenden Daten in den Router handelt, handelt es sich hierbei überall um eine input-chain): ### Nach sinnvollen Überlegungen kamen wir zu diesen Regeln: Um möglichst geschützt zu Arbeiten ist es wichtig, alle IP-Adressen, die nicht zur Uni gehören, zu blocken, sodass nur noch Uni interne Rechner uns senden können. Sobald der Router unvollständige oder kaputte Dateien erhält, werden diese durch die Firewall-Einstellung "connection-state=invalid action=drop" verworfen, um nicht unnötig Daten zu sammeln. ### DHCP und NAT und DNS aufgesetzt(10.05.21) Um von jedem Port in Internet zu gelangen muss ein DHCP-Server eingerichtet werden. Dieser verfügt über einen Pool von IP-Adressen, den man bei der Konfiguration festlegen muss. Nach dem RFC1918 Standard gibt es 3 verschiedene Addressbereiche, zwischen denen man in einem privaten Netzwerk wählen kann. Ich habe den Adressbereich 192.168.0.2-192.168.0.254 gewählt, da ich diesen schon aus meinem Heimnetzwerk kenne und für ein Whohnheim ein Bereich in dieser Größe genügt. Zur besseren Orientierung wurde dem DHCP-Server der Name "Wohnheim" zugewiesen.Außerdem erhalten alle Geräte/PCs die am Interface "Inside" liegen, IP-Adressen,welche je für 24h gültig sind. Um im verwendeten Netz unerkannt zu bleiben, ist das sogenannte NAT zuständig.Dadurch wird von allen Datenpaketen, die das Interface verlassen, die source(Herkunft) auf die des Routers geändert. In diesem Bereich ist es sinvoll Masquerade zu nutzen, da es im Gegensatz zum srcnat dynamisch ist, wenn die Ip beispielweise vom DHCP-Server geändert wird, oder wenn der PPPoE-Tunnel nach dem Trennen eine andere IP erhält. Außerdem wurde der vorgegebene DNS-Server übernommen, um die Webseiten über ihren Domainnamen zu erreichen ### Forward-Chain(11.05.21) Um die Clients im Wohnnetz gegen ungewollte Angriffe zu schützen, ist es sinvoll, eine Firewall-forward-chain zu konfigurieren. Diese ist so Eingestellt, dass nur Geräte innerhalb des Netzes Verbindungen aufbauen dürfen und Pakete von außen nur durchgeleitet werden, wenn sie Teil einer bereits bestehenden oder einer verwandten Verbindung sind.