# Konfiguration eines Wohnheimrouters ### Ausgangsziel: Einen Mikrotik Router so konigurieren, dass er als Gateway und Firewall für die dahinterstehenden Clients in einem Wohnheim eingesetzt werden könnte. Im Teil meiner Doku liegt der Schwerpunkt auf der Konfiguration der IPv4 Adresse, auf die Ipv6 Adresse wird jedoch von meinem Kollegen Nicolas Wendler genauer eingegangen. ## Erster Zugriff auf den Router Um erstmals auf die Konsole zu gelangen, haben wir uns mit einem seriellen Kabel mit dem Router verbunden, um den Zugriff über ssh zu aktivieren, da das Arbeiten zu Zweit über einen verfügbaren Konsolen-Port beinahe unmöglich ist. Damit dies möglich ist, mussten den verschiednen Ports IPv4- und IPv6-Adressen zugewiesen werden, über die der Router dann zu erreichen ist. Damit der Zugang möglichst sicher und komfortabel gestaltet ist, muss ein persönliches public-private-Keypair generiert werden und der anschließend erstellte public-key per SCP auf den Router hochgeladen werden, welcher anschließend in das Admin-Konto importiert wird. ## Erweiterung des Adressbereiches Um aus unserem Netzbereich an die “Außenwelt” zu gelangen, muss der Adressbereich erweitert werden. Dieser sollte möglichst auf der unspezifischen Adresse 0.0.0.0/0 liegen, da sich spezifische Adressen immer auf einen bestimmten, vorgegebenen Raum beziehen. ## Einrichtung einer Bridge auf dem Router Um nur ein Interface zu haben, an welches Router-Advertisements geschickt werden müssen und auch weitere Einstellungen zu vereinfachen, wurden die Ports ether1-7 in eine virtuelle Bridge mit dem Namen “Inside” integriert. Diese dient somit als Ausgangspunkt für das Wohnheimnetz. ## Konfiguration einer Firewall Um unerlaubte Zugriffsversuche auf den Router von Dritten zu vermeiden, wurde die Firewall input-chain so eingestellt, dass vom Router ausgehende(aktive) Verbindungen, verwandte Verbindungen, sowie Verbindungen aus dem lokalen Uni-Subnetz, welche sich Zugriff auf den Router verschaffen wollen, erlaubt werden. Damit sich möglichst niemand außerhalb des Uni-Netzes mit dem Router eine Verbindug aufbauen kann, werden alle anderen Verbindungen geblockt. Zum Schutz der Clients im Wohnheimnetz vor ungewollten Zugriffsversuchen von Außen, wurde die forward-chain der Firewall so konfiguriert, dass nur Geräte von innerhalb des Netzes Verbindungen aufbauen dürfen und von außerhalb nur Pakete durchgeleitet werden, sobald sie zu einer bereits bestehenden oder verwandten Verbindung gehören. ## Einstellen des DNS-Servers und Festlegen eines SNTP-Servers Damit der Router die auch Adressen über den Domainnamen ansteuern kann, wurden die vorgegebenen DNS-Server in die Konfiguration übernommen. Zusätzlich wurde ein Uni SNTP-Server, dessen Adresse aus der Switch-Baseline entnommen wurde, mit in die Konfiguration übernommen. Dieser sorgt dafür, dass der Router selbständig das aktuelle Datum, sowie die aktuelle Uhrzeit übernimmt. ## Einrichtung eines DHCP-Servers Damit man von jedem Port ins Internet gelangen kann, muss ein DHCP-Server eingerichtet werden. Dieser verfügt über einen Pool von IP-Adressen, den man bei der Konfiguration festlegen muss. Nach dem RFC1918 Standard gibt es 3 verschiedene Addressbereiche, zwischen denen man in einem privaten Netzwerk wählen kann. Hier habe ich den Adressbereich 192.168.0.2-192.168.0.254 gewählt, da ich diesen beriets aus meinem Heimnetzwerk kenne und für ein Wohnheim ein Bereich in dieser Größe genügt. Zur besseren Orientierung wurde dem DHCP-Server der Name “Wohnheim” zugewiesen. Außerdem erhalten alle Geräte/PCs die am Interface “Inside” liegen eine IP-Adressen, welche je für 24h gültig sind. ## Aufsetzen eines NAT-Servers Um im verwendeten Netz unerkannt zu bleiben, ist das sogenannte NAT zuständig. Dadurch wird von allen Datenpaketen, die das Interface verlassen, die source(Herkunft) auf die des Routers geändert. In diesem Bereich ist es sinvoll Masquerade zu nutzen, da es im Gegensatz zum srcnat dynamisch ist, wenn die Ip beispielweise vom DHCP-Server geändert wird, oder wenn der PPPoE-Tunnel nach dem Trennen eine andere IP erhält.