Installation von MikroTik RouterOS CHR auf VPS

Was Sie benötigen

VPS mit Ubuntu 20.04 (vorzugsweise) und Root-/Sudo-Zugriff.
Netzwerkdaten des Providers: IP/Präfix und Standard-Gateway – notieren Sie diese im Voraus.
Zugriff auf die Notfallkonsole (VNC/Seriell) im Panel des Providers, falls das Netzwerk nach der Aufzeichnung noch nicht verfügbar ist.

**Überprüfen und notieren Sie die Netzwerkeinstellungen, bevor Sie die Festplatte neu beschreiben (erforderlich).**

Dieser Schritt wird vor dem Neuschreiben der Festplatte und der Installation von MikroTik CHR durchgeführt. Nach dem Schreiben des RAW-Images wird das aktuelle Ubuntu vollständig entfernt, der SSH-Zugriff verschwindet und Sie können das Netzwerk in CHR nur noch manuell über die Notfallkonsole mit den zuvor gespeicherten Einstellungen konfigurieren. Notieren Sie daher unbedingt die vom Anbieter bereitgestellten Netzwerkeinstellungen, bevor Sie fortfahren.

Welche Daten müssen gespeichert werden?

IP-Adresse und Maske (Präfix)

Beispiel: 203.0.113.10/24

Dieser Wert wird beim Hinzufügen einer IP-Adresse zu CHR verwendet.

Standard-Gateway

Beispiel: 203.0.113.1

Diese Adresse wird zur Konfiguration der Standardroute benötigt.

Netzwerktyp – normal oder /32

Wenn die IP mit einer /32-Maske ausgegeben wird (häufig bei VPS-Anbietern), ist eine spezielle Konfiguration auf der CHR-Seite erforderlich.

Beispiel für ein Netzwerk mit /32:

IP: 85.85.85.85/32
Gateway: 10.0.0.1

Bei solchen Netzwerken wird das Gateway beim Hinzufügen einer IP-Adresse manuell angegeben.

				
					sudo -i
ip -c a
ip -c r

Ubuntu vorbereiten und Netzwerkeinstellungen korrigieren

				
					sudo -i
apt update && apt -y install unzip
ip -c a   # record your IP/prefix, for example 203.0.113.10/24
ip -c r   # write down the default gateway, for example 203.0.113.1

Dies ist nützlich, wenn Sie CHR nach dem Neustart zunächst über die Konsole konfigurieren.

Laden Sie das RAW-Image des Cloud Hosted Routers herunter.

				
					cd /tmp
wget https://download.mikrotik.com/routeros/<VER>/chr-<VER>.img.zip
unzip chr-<VER>.img.zip   # we will receive chr-<VER>.img

Wobei <VER> die stabile Version ist. Wenn die neueste Version nicht geladen wird, verwenden Sie 6.49.10 und aktualisieren Sie dann über CHR.

Definieren Sie die Zielfestplatte.

				
					fdisk -l
# For example, the target disk /dev/sda

Achtung: Vergewissern Sie sich, dass das Gerät korrekt ist, da das Schreiben zerstörerisch ist.

Dateisysteme in schreibgeschützt umwandeln

				
					echo u > /proc/sysrq-trigger
sync

Dadurch wird das Risiko eines „beschädigten“ Images bei Verwendung von dd verringert (es gab Fälle, in denen xz-komprimierte Daten beschädigt waren).

Schreiben Sie das Image auf die Festplatte (dd).

				
					dd if=chr-<VER>.img of=/dev/sda bs=4M oflag=sync status=progress

Warten Sie, bis der Vorgang ohne Fehler abgeschlossen ist. Dadurch wird Ihr aktuelles Ubuntu vollständig überschrieben.

Hard-Reboot in CHR

				
					echo 1 > /proc/sys/kernel/sysrq
echo b > /proc/sysrq-trigger

Die SSH-Verbindung wird getrennt. Der VPS startet unter CHR in seinem Standardzustand – es ist noch kein Netzwerk vorhanden.

Erste Anmeldung an der Notfallkonsole

Öffnen Sie die Notfallkonsole im Panel des Providers.
Anmeldung admin, Passwort leer → Lizenzanzeige bestätigen → sofort ein neues Passwort festlegen.
Neuere Modelle/Builds können andere Standardeinstellungen haben, aber für CHR ist das typische Szenario admin ohne Passwort bei der ersten Anmeldung.

Konfigurieren der IP-Adresse in RouterOS (CLI)

In der RouterOS-Konsole (menüorientierte CLI):

				
					ip
address
add
address=203.0.113.10/24
interface=ether1

RouterOS berechnet das Netzwerk/die Übertragung basierend auf dem Präfix; die Adresse kann auch zu einer einzelnen Zeile hinzugefügt werden:

				
					/ip address add address=203.0.113.10/24 interface=ether1

Fall mit /32 (häufig in Clouds)

Wenn der Anbieter eine öffentliche IP-Adresse mit einer /32-Maske und einem „externen” Gateway (z. B. 10.0.0.1) vergibt, richten Sie das Netzwerk manuell ein:

				
					/ip address add address=85.85.85.85/32 interface=ether1 network=10.0.0.1

Dann die Standardroute:

				
					/ip route add gateway=10.0.0.1

Dies ist ein standardmäßiges Arbeitsrezept für /32, das sich in der Praxis bewährt hat.

Standardroute

Kurzform:

				
					/ip route add gateway=203.0.113.1

Nach der Einstellung der Adresse und des Gateways ist CHR über das Netzwerk zugänglich.

Zugriff auf WebFig/Winbox

Öffnen Sie http://<IP> für WebFig (oder https://<IP>, wenn HTTPS aktiviert ist).

Alternativ können Sie eine Verbindung zu Winbox herstellen (Standard-TCP 8291).

Was ist unmittelbar nach dem Einrichten des Netzwerks zu tun?

Mini-Sicherheit (unnötige Dienste deaktivieren, Dienstports ändern)

				
					/ip service print
/ip service set telnet disabled=yes
/ip service set ftp disabled=yes
/ip service set www disabled=yes         # enable www-ssl instead of plain-HTTP
/ip service set api disabled=yes
/ip service set api-ssl disabled=yes
/ip service set ssh address=0.0.0.0/0    # narrow if necessary
/ip service set winbox port=8291         # change the port if desired

WebFig und Winbox sind hinsichtlich ihrer Funktionen ähnliche Manager. Standardmäßig verwendet WebFig HTTP auf Port 80 (es ist besser, HTTPS zu aktivieren), während Winbox TCP 8291 verwendet.
Aktivieren Sie HTTPS für WebFig:

				
					/user add name=ops group=full password="ComplexPassword123!"
/user disable admin

Benutzername und Passwort

				
					/ip service set www disabled=yes
/ip service set www-ssl disabled=no certificate=<yours-cert>

(oder Admin verlassen, aber ein komplexes Passwort festlegen und den Zugriff nach Adresse einschränken)

Zeit und NTP

				
					/system clock set time-zone-name=Etc/UTC
/system ntp client set enabled=yes servers=pool.ntp.org

Basis-NAT (wenn dies Ihr „Internet-Router“ ist)

				
					/ip firewall nat add chain=srcnat out-interface=ether1 action=masquerade

Mini-Firewall für die Verwaltung

				
					/ip firewall filter
add chain=input connection-state=established,related action=accept
add chain=input connection-state=invalid action=drop
add chain=input protocol=tcp dst-port=22,8291,443,80 src-address-list=mgmt action=accept
add chain=input in-interface=ether1 action=drop comment="drop rest from WAN"

/ip firewall address-list
add list=mgmt address=203.0.113.0/24

Updates und CHR-Lizenz

RouterOS überprüfen und aktualisieren:

				
					/system package update check-for-updates
/system package update install

CHR-Lizenz überprüfen:

				
					/system license print

(Für Produktionslasten wählen Sie p1/p10/p-unlimited – siehe den offiziellen CHR-Abschnitt)

Debugging: typische Probleme

„xz-komprimierte Daten sind beschädigt / System angehalten” nach dd
Eine häufige Ursache ist das Schreiben in ein „aktives” Dateisystem. Es hilft, das Dateisystem vor dd in schreibgeschützt zu konvertieren. Wenn Probleme auftreten, verwenden Sie 6.49.10, starten Sie das System und aktualisieren Sie dann auf 7.x.
Kein Ping nach dem Neustart
Überprüfen Sie, ob Sie die Adresse und das Gateway in CHR festgelegt haben (Schritte 8–9). Geben Sie für /32 beim Hinzufügen der Adresse network=<gateway> an und legen Sie die Route gateway=<gateway> fest.
+WebFig/Winbox öffnet sich
Melden Sie sich über die Notfallkonsole an, überprüfen Sie /ip service print, die Firewall und ob Sie den richtigen Port sehen (Winbox 8291/TCP).

Zusätzlich: Schnellkonfigurationsraster

Anmeldung über DHCP (wenn die Cloud die Adresse dynamisch zuweist)

				
					/ip dhcp-client add interface=ether1 use-peer-dns=yes use-peer-ntp=yes

(Für Serverumgebungen ist eine statische Adresse vorzuziehen.)

Bridge (wenn es mehrere Schnittstellen in CHR gibt)

				
					/interface bridge add name=br0
/interface bridge port add bridge=br0 interface=ether1
/ip address add address=192.0.2.10/24 interface=br0

VLAN auf der Schnittstelle

				
					/interface vlan add name=wan.100 vlan-id=100 interface=ether1
/ip address add address=203.0.113.10/24 interface=wan.100
/ip route add gateway=203.0.113.1