Kennen Sie die ASA-Firewallserie? Cisco als weltbekannter Hersteller von Netzwerkequipment hat in dieser Serie für verschiedene Anwendungszwecke (und Geldbeutel) gedachte Appliances zusammengefasst die mit IOS ein mächtiges Betriebssystem liefern das ein weit gefächertes Spektrum an Funktionen bietet.
Doch ein kleines Unternehmen aus Lettland mausert sich zur ernsthaften Konkurrenz: Mikrotik entwickelt mit RouterOS und den RouterBOARDs eine günstige und ebenso leistungsstarke Alternative.

Cisco kann man gut und gerne als “Platzhirsch” in Sachen Netzwerktechnik und Firewalls bezeichnen. Die ASA-Serie ist bekannt dafür dass sie in den Grundfunktionen einfach zu konfigurieren ist aber gleichzeitig auch für Profis taugt.

Seit einigen Jahren schickt sich die lettische Firma Mikrotik an ein ernstzunehmendes Konkurrenzprodukt zu Ciscos IOS zu entwickeln: RouterOS. Der Funktionsumfang ist mittlerweile auf fast dem selben Niveau, an einigen Stellen geht Mikrotik aber andere Wege, vor allem bei VPN.

Einer der Clous von RouterOS: es läuft sowohl auf PC-Hardware (und macht dadurch Firewall-Lösungen a la IPCop und m0n0wall/pfSense Konkurrenz) als auch auf speziell darauf zugeschnittenen Systemen (den sogenannten RouterBOARDs) die “blank” oder mit Gehäuse als komplette Appliance verkauft werden.

Der RB750

Das kleinste und günstigste Komplettpaket ist der RB750 für ~40€. Die Verpackung fällt spartanisch aus, eine kleine braune Papp-Box die nur den RB und ein Netzteil enthält, LAN-Kabel liegt keines bei. Auf dem Boden ist eine kurze englische Anleitung gedruckt wie man den Router verkabeln muss, auf der Rückseite ist noch ein Etikett mit den MAC-Adressen der LAN-Ports.

Äußerlich sieht er mit seinem weißen Plastikgehäuse wie ein gewöhnlicher DSL-Router aus, im Inneren steckt aber eine volle RouterOS-Installation mit dem kompletten Funktionsumfang.

Webfig Login-Seite

Den ersten Kontakt zum Router stellt man über die Weboberfläche her die man unter der IP 192.168.88.1 erreicht. Hier sieht man auch gleich die Möglichkeiten wie man den Router konfigurieren kann: per Weboberfläche, Winbox (ein ~115KByte großes Tool mit dem man so gut wie alle Optionen von RouterOS erreicht) oder Telnet/SSH. Die Konfiguration per Weboberfläche ist in der Firmware-Version mit der der Router ausgeliefert wird sehr beschränkt, durch ein Update auf die aktuelle Version (momentan 5.12) wird “Webfig” in etwa auf den Funktionsumfang von Winbox gehoben.

Winbox

Winbox fasst nahezu die gesamten Funktionen von RouterOS zusammen, dadurch ist die Oberfläche auf den ersten Blick vielleicht etwas voll gestopft. Einige der Punkte im Seitenmenü (vor allem IP und System) enthalten über 20 Unterpunkte, und diese sind stellenweise noch auf mehrere Tabs verteilt. Wie der Name schon vermuten lässt läuft Winbox standardmäßig nur unter Windows, es ist aber simpel genug gestrickt dass man es auch ohne Probleme unter Linux und Mac OS X per Wine benutzen kann.

Terminal-Sitzung

Und für Leute die auch die letzte Funktion erreichen wollen und/oder die GUI scheuen bleibt noch der Terminal-Zugriff über Telnet oder SSH. Hier hat man einige Komfort-Funktionen zur Verfügung: die eingegebenen Befehle werden Kontext-sensitiv farblich hervorgehoben und können auch verkürzt eingegeben werden (solange das Kürzel eindeutig ist, ähnlich wie bei Cisco), per Tab-Taste kriegt man jederzeit eine Liste der an dieser Stelle gültigen Befehle, und ein ? zeigt zusätzlich auch noch eine kurze Beschreibung an was das Kommando macht. Außerdem kann man sich fast wie in einem Dateisystem durch die Befehle bewegen. Per .. springt man wieder eine Befehlsebene nach oben, / bringt einen auf die Hauptebene zurück.

Ich möchte hier noch einige der Funktionen von RouterOS anschneiden, es handelt sich hierbei aber nur um eine kleine Auswahl.
Für VPN-Verbindungen hat man die Auswahl aus einigen Protokollen, unter anderem PPTP, SSTP, L2TP und OpenVPN, für reine Site-to-Site Tunnel stehen GRE, IPIP und EoIP (proprietäres Protokoll zum bridgen von Netzen) zur Verfügung. IPSec wird in neueren Firmware-Versionen auch unterstützt, allerdings bisher nur für Site-to-Site.
IPv6 wird schon seit Firmware 3 unterstützt, wurde seitdem aber immer weiter ausgebaut und in der Stabilität verbessert. Ebenso sieht es mit VLAN-Support aus.
Eine Funktion die vielleicht mancher erwartet aber die ausdrücklich nicht in RouterOS enthalten ist ist DynDNS-Unterstützung. Man kann sie zwar per Script nachrüsten, unserer Erfahrung nach läuft es hierüber aber nicht zuverlässig genug. Mit dem entsprechenden Update-Client des eigenen DynDNS-Anbieters den man auf einer Maschine hinter dem Router betreibt ist man besser dran.
Eine grobe Übersicht über die Funktionen von RouterOS bietet auch die “What is RouterOS” Broschüre von Mikrotik. Diese stammt allerdings noch von Anfang 2010 und deckt nicht alles ab das seitdem in v4 und v5 integriert wurde.

“So viel Funktion für so wenig Geld, wo ist der Haken?” wird sich mancher fragen. Die Antwort ist einfach: Support. Im Gegensatz zu Cisco & Co gibt es von Mikrotik selbst keine Support- oder Wartungsverträge, abhängig vom Lizenzlevel (beim RB750 ist Level 4 dabei) hat man nur nach Anschaffung 15 bis 30 Tage Initial-Support per E-Mail. Ansonsten muss man sich das Wissen selbst aneignen. Mikrotik stellt einem hierzu das offizielle Wiki zur Verfügung in dem haarklein alle Befehle erklärt werden, hier findet man auch eine Menge an Konfigurationsbeispielen für gewisse Anwendungszwecke. Zusätzlich findet man im Community-Forum Gleichgesinnte die einem meistens auch bei ausgefallenen Problemen Hilfestellung leisten können. Ansonsten hat man noch die Möglichkeit einen “Consultant” anzuheuern, das sind von Mikrotik zertifizierte Experten die sich auf freiwilliger Basis auf der MT-Website eintragen lassen.

Einen Teil des Geldes das man sich bei der Anschaffung gegenüber einer ASA oder einer anderen Firewall spart geht letztendlich dafür drauf dass man sich in RouterOS erst einmal einarbeiten muss. Ist man aber mal vertraut mit dem System lernt man schnell den Komfort zu schätzen.
Config-Backup? In Winbox unter Files den Backup-Button drücken, per Terminal
/system backup save. Die Config-Datei kann man per Drag&Drop aus Winbox ziehen oder über FTP abrufen.
Firmware-Update oder neue Module? Firmware/Modul von der Mikrotik-Website runterladen, per Winbox oder FTP auf den Router befördern und diesen einmal neu starten. Das Update wird automatisch erkannt und installiert.
Funktion nicht enthalten, zu kompliziert oder nicht flexibel genug? RouterOS bringt eine Scripting-Schnittstelle mit über die man viele Funktionen an die eigenen Bedürfnisse anpassen oder neue Funktionen zusammensetzen kann. Die Community liefert für vieles bereits fertige Scripte.

Wenn man Zeit und die Motivation hat sich in RouterOS einzuarbeiten kriegt man für kleines Geld einen vollwertigen Router mit Firewall, 5 einzeln konfigurierbaren LAN-Ports und einer Menge an Profi-Funktionen. Allerdings sollte man immer im Hinterkopf behalten dass man keinen Herstellersupport hat und bei Problemen auf eine Antwort der Community warten oder einen externen Experten hinzu holen muss. Wenn man damit zurecht kommt bieten die Mikrotik-Geräte viel Leistung im unscheinbaren Gehäuse.
Wir haben seit gut einem halben Jahr einen RB750 als Router im Einsatz und sind voll zufrieden damit. Bis auf die schon weiter oben erwähnten Einschränkungen mit DynDNS gab es bisher keine Probleme, wobei man erwähnen sollte dass wir bis auf den PPTP-Server die meisten Funktionen bisher nicht ausgelotet haben